5a4b198bddcbee5cf85859e81f6527a59019dc2203298cf4c22bf2a95b2c0ceb

Analysis

max time kernel
152s
max time network
125s
platform
windows7_x64
resource
win7-20231215-en
resource tags

arch:x64arch:x86image:win7-20231215-enlocale:en-usos:windows7-x64system
submitted
26-12-2023 00:06

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

4529e8edd84ef2a53a9cbbde19ed72d2.exe
Size

88KB
MD5

4529e8edd84ef2a53a9cbbde19ed72d2
SHA1

d56b27003a3e2f0042a310581855b501897a66c0
SHA256

5a4b198bddcbee5cf85859e81f6527a59019dc2203298cf4c22bf2a95b2c0ceb
SHA512

8a877b45848a874034598322087b31768661db96cc6bd0b6149a0c7e2636ac91cedb61d15021360f105eaa06e06d726481af543f8d779eb7f65ffbd6a23fdd11
SSDEEP

768:qWb6o5VnURLQ/JD60XDeVtA5YxmHwWW2iYf/ce2NZQcy8+gxdCwaTDNmDIBT/kbQ:q4VIQ/JDHKa5LJW6/Z2NZQKvdmNmS/

Score

10^/10

evasion persistence

Malware Config

Signatures

Modifies visiblity of hidden/system files in Explorer 2 TTPs 2 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	4529e8edd84ef2a53a9cbbde19ed72d2.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	xeoir.exe

Executes dropped EXE 1 IoCs

pid	Process
2064	xeoir.exe

Loads dropped DLL 2 IoCs

pid	Process
2548	4529e8edd84ef2a53a9cbbde19ed72d2.exe
2548	4529e8edd84ef2a53a9cbbde19ed72d2.exe

Adds Run key to start application 2 TTPs 27 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /k"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /y"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /d"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /n"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /m"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /z"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /t"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /e"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /l"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /o"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /p"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /r"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /q"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /x"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /i"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /f"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /g"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /a"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /b"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /w"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /u"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /c"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /v"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /s"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /h"	xeoir.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /j"	4529e8edd84ef2a53a9cbbde19ed72d2.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-928733405-3780110381-2966456290-1000\Software\Microsoft\Windows\CurrentVersion\Run\xeoir = "C:\\Users\\Admin\\xeoir.exe /j"	xeoir.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
2548	4529e8edd84ef2a53a9cbbde19ed72d2.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe
2064	xeoir.exe

Suspicious use of SetWindowsHookEx 2 IoCs

pid	Process
2548	4529e8edd84ef2a53a9cbbde19ed72d2.exe
2064	xeoir.exe

Suspicious use of WriteProcessMemory 4 IoCs

description	pid	Process	procid_target
PID 2548 wrote to memory of 2064	2548	4529e8edd84ef2a53a9cbbde19ed72d2.exe	28
PID 2548 wrote to memory of 2064	2548	4529e8edd84ef2a53a9cbbde19ed72d2.exe	28
PID 2548 wrote to memory of 2064	2548	4529e8edd84ef2a53a9cbbde19ed72d2.exe	28
PID 2548 wrote to memory of 2064	2548	4529e8edd84ef2a53a9cbbde19ed72d2.exe	28

C:\Users\Admin\AppData\Local\Temp\4529e8edd84ef2a53a9cbbde19ed72d2.exe
"C:\Users\Admin\AppData\Local\Temp\4529e8edd84ef2a53a9cbbde19ed72d2.exe"
1⤵
- Modifies visiblity of hidden/system files in Explorer
- Loads dropped DLL
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2548
- C:\Users\Admin\xeoir.exe
  "C:\Users\Admin\xeoir.exe"
  2⤵
  - Modifies visiblity of hidden/system files in Explorer
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of SetWindowsHookEx
  PID:2064

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

\Users\Admin\xeoir.exe

Filesize
88KB

MD5
12f7944571b373d9d7f8877aff430b4d

SHA1
a7a2235806b0e50add19d86fd5f8887b0993fb60

SHA256
082a2454897a16ba321680367262bf3dbd0c0fbff611668d375e0534a6646d1b

SHA512
5b831c3e1c3c34a77928f5c46db2bd65dfc59bbd92db800d4068b24eb09b639e1b832d6d9885e97a57dfa23db1e9a9bac299f4e72a0dc01b9fdd376229133734

Download Submit