Analysis
-
max time kernel
56s -
max time network
73s -
platform
windows7_x64 -
resource
win7-20221111-en -
resource tags
arch:x64arch:x86image:win7-20221111-enlocale:en-usos:windows7-x64system -
submitted
25-11-2022 14:09
Static task
static1
Behavioral task
behavioral1
Sample
9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe
Resource
win7-20221111-en
Behavioral task
behavioral2
Sample
9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe
Resource
win10v2004-20221111-en
General
-
Target
9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe
-
Size
3.3MB
-
MD5
d10dd81f98db58716231c57c09a7e635
-
SHA1
1fab159def5c733001a7c71effa11d400bf6aed1
-
SHA256
9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3
-
SHA512
c0a5601c6bd03c1816629bae4a1ec60aeba621273b4fedc9e4ce016d9b426c50e1f3a8bfb4327d6b5d6c3c19f0d54729bcc8b09586bee367ca82d43bc06d58ae
-
SSDEEP
24576:gEQt0o1FibpbST3uD9GyHAnkBwKNsZyn24BzYZg00rqcKxtG9onME7TuADgIwCN2:gZ7jrTs5n2Ija4GnHTuADgJ
Malware Config
Signatures
-
Adds Run key to start application 2 TTPs 2 IoCs
Processes:
9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exedescription ioc process Key created \REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe Set value (str) \REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\Word Office 14 = "C:\\Users\\Admin\\AppData\\Roaming\\Microsoft\\WINWORD.EXE" 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe -
Suspicious use of SetThreadContext 1 IoCs
Processes:
9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exedescription pid process target process PID 1680 set thread context of 1360 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe -
Suspicious use of FindShellTrayWindow 12 IoCs
Processes:
9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exepid process 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe -
Suspicious use of SendNotifyMessage 12 IoCs
Processes:
9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exepid process 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe -
Suspicious use of WriteProcessMemory 6 IoCs
Processes:
9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exedescription pid process target process PID 1680 wrote to memory of 1360 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe PID 1680 wrote to memory of 1360 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe PID 1680 wrote to memory of 1360 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe PID 1680 wrote to memory of 1360 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe PID 1680 wrote to memory of 1360 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe PID 1680 wrote to memory of 1360 1680 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe 9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe"C:\Users\Admin\AppData\Local\Temp\9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe"1⤵
- Suspicious use of SetThreadContext
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe"C:\Users\Admin\AppData\Local\Temp\9ab629f76063294e34e584cbf0c032adc687c9662074507857dd2a8174aa1be3.exe"2⤵
- Adds Run key to start application
Network
MITRE ATT&CK Matrix ATT&CK v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
memory/1360-55-0x0000000000400000-0x00000000004D9000-memory.dmpFilesize
868KB
-
memory/1360-57-0x0000000000400000-0x00000000004D9000-memory.dmpFilesize
868KB
-
memory/1360-58-0x00000000004A3A08-mapping.dmp
-
memory/1360-59-0x0000000000400000-0x00000000004D9000-memory.dmpFilesize
868KB
-
memory/1360-61-0x0000000000400000-0x00000000004D9000-memory.dmpFilesize
868KB
-
memory/1360-62-0x0000000000400000-0x00000000004D9000-memory.dmpFilesize
868KB
-
memory/1360-63-0x0000000000400000-0x00000000004D9000-memory.dmpFilesize
868KB
-
memory/1680-54-0x0000000076041000-0x0000000076043000-memory.dmpFilesize
8KB