c289d44cfa149f6bf90e95350594fd0a3bfbf9c68604d3f69d0b5c12546b745e

Analysis

max time kernel
122s
max time network
130s
platform
windows7_x64
resource
win7-en-20211014
submitted
21-10-2021 10:37

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

FREWITT Auftragsbestätigung-5309,pdf.exe
Size

973KB
MD5

2ad5ffbc1c617702149481d5d5129e47
SHA1

96fae5b9e9f0ab3a98422e2e8c2b4e95c3746976
SHA256

583dd77ec5f198782e75d7c7286fabb741051c88e32b862dfad56f9b2f46bf0d
SHA512

746728216bebbdb221109317c99cace0c60892ab1d7a07953782e165cf63be1eeafcca8825ad2a23769dccb2cb538dd541d507a6c9d0602b78a2440ca5212f2a

Score

6^/10

persistence

Malware Config

Signatures

Adds Run key to start application 2 TTPs 1 IoCs

persistence

Registry Run Keys / Startup Folder

T1060

Modify Registry

T1112

Processes:

FREWITT Auftragsbestätigung-5309,pdf.exe

description	ioc	process
Set value (str)	\REGISTRY\USER\S-1-5-21-2955169046-2371869340-1800780948-1000\Software\Microsoft\Windows\CurrentVersion\Run\Jqwmfc = "C:\\Users\\Public\\cfmwqJ.url"	FREWITT Auftragsbestätigung-5309,pdf.exe

Suspicious use of WriteProcessMemory 7 IoCs

Processes:

FREWITT Auftragsbestätigung-5309,pdf.exe

description	pid	process	target process
PID 1772 wrote to memory of 828	1772	FREWITT Auftragsbestätigung-5309,pdf.exe	logagent.exe
PID 1772 wrote to memory of 828	1772	FREWITT Auftragsbestätigung-5309,pdf.exe	logagent.exe
PID 1772 wrote to memory of 828	1772	FREWITT Auftragsbestätigung-5309,pdf.exe	logagent.exe
PID 1772 wrote to memory of 828	1772	FREWITT Auftragsbestätigung-5309,pdf.exe	logagent.exe
PID 1772 wrote to memory of 828	1772	FREWITT Auftragsbestätigung-5309,pdf.exe	logagent.exe
PID 1772 wrote to memory of 828	1772	FREWITT Auftragsbestätigung-5309,pdf.exe	logagent.exe
PID 1772 wrote to memory of 828	1772	FREWITT Auftragsbestätigung-5309,pdf.exe	logagent.exe

C:\Users\Admin\AppData\Local\Temp\FREWITT Auftragsbestätigung-5309,pdf.exe
"C:\Users\Admin\AppData\Local\Temp\FREWITT Auftragsbestätigung-5309,pdf.exe"
1⤵
- Adds Run key to start application
- Suspicious use of WriteProcessMemory
PID:1772

C:\Windows\SysWOW64\logagent.exe
C:\Windows\System32\logagent.exe
2⤵
PID:828

Network

MITRE ATT&CK Matrix ATT&CK v6

Initial Access

Execution

Persistence

Registry Run Keys / Startup Folder

T1060

Privilege Escalation

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

memory/828-58-0x0000000000080000-0x0000000000081000-memory.dmp

Filesize
4KB

Download
memory/828-59-0x0000000000000000-mapping.dmp

Download
memory/828-63-0x0000000000080000-0x0000000000081000-memory.dmp

Filesize
4KB

Download
memory/1772-55-0x00000000001D1000-0x00000000001E5000-memory.dmp

Filesize
80KB

Download
memory/1772-56-0x00000000001B0000-0x00000000001B1000-memory.dmp

Filesize
4KB

Download
memory/1772-57-0x0000000075F41000-0x0000000075F43000-memory.dmp

Filesize
8KB

Download