Presupuesto SEPT 21.pif.exe

General
Target

Presupuesto SEPT 21.pif.exe

Filesize

153KB

Completed

21-09-2021 12:03

Score
10 /10
MD5

a85cab873032f76a3d5b8c686d60d14d

SHA1

23b5d5f953529e5a2d5462e49c741a09a613faa9

SHA256

9c241da391f641a5c4fabc87d324a8d2eab9cc9eced7368db9af5d946df811aa

Malware Config
Signatures 5

Filter: none

Persistence
  • njRAT/Bladabindi

    Description

    Widely used RAT written in .NET.

  • suricata: ET MALWARE Generic njRAT/Bladabindi CnC Activity (ll)

    Description

    suricata: ET MALWARE Generic njRAT/Bladabindi CnC Activity (ll)

    Tags

  • Modifies Windows Firewall

    Tags

    TTPs

    Modify Existing Service
  • Suspicious use of AdjustPrivilegeToken
    Presupuesto SEPT 21.pif.exe

    Reported IOCs

    descriptionpidprocess
    Token: SeDebugPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
    Token: 331784Presupuesto SEPT 21.pif.exe
    Token: SeIncBasePriorityPrivilege1784Presupuesto SEPT 21.pif.exe
  • Suspicious use of WriteProcessMemory
    Presupuesto SEPT 21.pif.exe

    Reported IOCs

    descriptionpidprocesstarget process
    PID 1784 wrote to memory of 20241784Presupuesto SEPT 21.pif.exenetsh.exe
    PID 1784 wrote to memory of 20241784Presupuesto SEPT 21.pif.exenetsh.exe
    PID 1784 wrote to memory of 20241784Presupuesto SEPT 21.pif.exenetsh.exe
    PID 1784 wrote to memory of 20241784Presupuesto SEPT 21.pif.exenetsh.exe
Processes 2
  • C:\Users\Admin\AppData\Local\Temp\Presupuesto SEPT 21.pif.exe
    "C:\Users\Admin\AppData\Local\Temp\Presupuesto SEPT 21.pif.exe"
    Suspicious use of AdjustPrivilegeToken
    Suspicious use of WriteProcessMemory
    PID:1784
    • C:\Windows\SysWOW64\netsh.exe
      netsh firewall add allowedprogram "C:\Users\Admin\AppData\Local\Temp\Presupuesto SEPT 21.pif.exe" "Presupuesto SEPT 21.pif.exe" ENABLE
      PID:2024
Network
MITRE ATT&CK Matrix
Collection
    Command and Control
      Credential Access
        Defense Evasion
          Discovery
            Execution
              Exfiltration
                Impact
                  Initial Access
                    Lateral Movement
                      Privilege Escalation
                        Replay Monitor
                        00:00 00:00
                        Downloads
                        • memory/1784-60-0x00000000003E0000-0x00000000003E1000-memory.dmp

                        • memory/1784-62-0x00000000754F1000-0x00000000754F3000-memory.dmp

                        • memory/1784-63-0x00000000049A0000-0x00000000049A1000-memory.dmp

                        • memory/1784-64-0x00000000003B0000-0x00000000003BD000-memory.dmp

                        • memory/1784-65-0x00000000003C0000-0x00000000003C8000-memory.dmp

                        • memory/2024-66-0x0000000000000000-mapping.dmp