Analysis
-
max time kernel
150s -
max time network
171s -
platform
windows10-2004_x64 -
resource
win10v2004-20220414-en -
submitted
21-05-2022 12:41
Static task
static1
Behavioral task
behavioral1
Sample
Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe
Resource
win7-20220414-en
General
-
Target
Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe
-
Size
598KB
-
MD5
f92ececb3b909c2158eaa33b2bbc0be0
-
SHA1
42abf8fcfcfc88960063dca12b91fb95896a1cf9
-
SHA256
033bf801cc1629f11843d56abc90a50768946cc207e0bdfb6d268ec073bf2a78
-
SHA512
b150fdd247e16b82cf06b3bc3f398be443a8e4a69699cec18055551b76fd00bf2432142eb34fa01db8e33ffee970b2e98f808be83ee953b270836c987c2af19b
Malware Config
Extracted
lokibot
http://clemglobal.com/server/five/fre.php
http://kbfvzoboss.bid/alien/fre.php
http://alphastand.trade/alien/fre.php
http://alphastand.win/alien/fre.php
http://alphastand.top/alien/fre.php
Signatures
-
suricata: ET MALWARE LokiBot Application/Credential Data Exfiltration Detected M1
suricata: ET MALWARE LokiBot Application/Credential Data Exfiltration Detected M1
-
suricata: ET MALWARE LokiBot Application/Credential Data Exfiltration Detected M2
suricata: ET MALWARE LokiBot Application/Credential Data Exfiltration Detected M2
-
suricata: ET MALWARE LokiBot Checkin
suricata: ET MALWARE LokiBot Checkin
-
suricata: ET MALWARE LokiBot Request for C2 Commands Detected M1
suricata: ET MALWARE LokiBot Request for C2 Commands Detected M1
-
suricata: ET MALWARE LokiBot Request for C2 Commands Detected M2
suricata: ET MALWARE LokiBot Request for C2 Commands Detected M2
-
suricata: ET MALWARE LokiBot User-Agent (Charon/Inferno)
suricata: ET MALWARE LokiBot User-Agent (Charon/Inferno)
-
Reads user/profile data of web browsers 2 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
-
Accesses Microsoft Outlook profiles 1 TTPs 3 IoCs
Processes:
Εντολή αγοράς 87985614 με ημερομηνία 06222020.exedescription ioc process Key opened \REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe Key opened \REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Software\Microsoft\Office\15.0\Outlook\Profiles\Outlook Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe Key opened \REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe -
Suspicious use of SetThreadContext 1 IoCs
Processes:
Εντολή αγοράς 87985614 με ημερομηνία 06222020.exedescription pid process target process PID 2420 set thread context of 5036 2420 Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe -
Suspicious behavior: RenamesItself 1 IoCs
Processes:
Εντολή αγοράς 87985614 με ημερομηνία 06222020.exepid process 5036 Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe -
Suspicious use of AdjustPrivilegeToken 1 IoCs
Processes:
Εντολή αγοράς 87985614 με ημερομηνία 06222020.exedescription pid process Token: SeDebugPrivilege 5036 Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe -
Suspicious use of WriteProcessMemory 9 IoCs
Processes:
Εντολή αγοράς 87985614 με ημερομηνία 06222020.exedescription pid process target process PID 2420 wrote to memory of 5036 2420 Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe PID 2420 wrote to memory of 5036 2420 Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe PID 2420 wrote to memory of 5036 2420 Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe PID 2420 wrote to memory of 5036 2420 Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe PID 2420 wrote to memory of 5036 2420 Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe PID 2420 wrote to memory of 5036 2420 Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe PID 2420 wrote to memory of 5036 2420 Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe PID 2420 wrote to memory of 5036 2420 Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe PID 2420 wrote to memory of 5036 2420 Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe -
outlook_office_path 1 IoCs
Processes:
Εντολή αγοράς 87985614 με ημερομηνία 06222020.exedescription ioc process Key opened \REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe -
outlook_win_path 1 IoCs
Processes:
Εντολή αγοράς 87985614 με ημερομηνία 06222020.exedescription ioc process Key opened \REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe"C:\Users\Admin\AppData\Local\Temp\Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe"1⤵
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\Εντολή αγοράς 87985614 με ημερομηνία 06222020.exe"{path}"2⤵
- Accesses Microsoft Outlook profiles
- Suspicious behavior: RenamesItself
- Suspicious use of AdjustPrivilegeToken
- outlook_office_path
- outlook_win_path
Network
MITRE ATT&CK Matrix ATT&CK v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
memory/2420-130-0x00000000007C0000-0x000000000085C000-memory.dmpFilesize
624KB
-
memory/2420-131-0x0000000005740000-0x0000000005CE4000-memory.dmpFilesize
5.6MB
-
memory/2420-132-0x0000000005470000-0x0000000005502000-memory.dmpFilesize
584KB
-
memory/2420-133-0x0000000005610000-0x000000000561A000-memory.dmpFilesize
40KB
-
memory/2420-134-0x0000000008FF0000-0x000000000908C000-memory.dmpFilesize
624KB
-
memory/5036-135-0x0000000000000000-mapping.dmp
-
memory/5036-136-0x0000000000400000-0x00000000004A2000-memory.dmpFilesize
648KB
-
memory/5036-138-0x0000000000400000-0x00000000004A2000-memory.dmpFilesize
648KB
-
memory/5036-139-0x0000000000400000-0x00000000004A2000-memory.dmpFilesize
648KB