55dbb21e48622f47139e066ec7594608dc0be6caa10c81dbece5dc9558c4c89c

General

Target

65863c8e65ee8841e9899fc37b7c8a53.exe
Size

176KB
MD5

65863c8e65ee8841e9899fc37b7c8a53
SHA1

6d0b8c921a0034da668c86eab85d58ed9b5aeb22
SHA256

55dbb21e48622f47139e066ec7594608dc0be6caa10c81dbece5dc9558c4c89c
SHA512

dac79ec126f47597d1b08cdfd27c46d44e0bb5f1198670d1510825373f661de32c805792b9236bc290002fca36cd59c84e919b23c273d5fd1b0ef2472cb073fe
SSDEEP

3072:IRlNSIcEGROnFVgPmCXMNKiqMQMZZZZWMkIJlo:cg6tEMNIMQHYc

Score

10^/10

evasion persistence

Malware Config

Signatures

Modifies visiblity of hidden/system files in Explorer 2 TTPs 2 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	qiisieh.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	65863c8e65ee8841e9899fc37b7c8a53.exe

Executes dropped EXE 1 IoCs

pid	Process
2724	qiisieh.exe

Loads dropped DLL 2 IoCs

pid	Process
2024	65863c8e65ee8841e9899fc37b7c8a53.exe
2024	65863c8e65ee8841e9899fc37b7c8a53.exe

Adds Run key to start application 2 TTPs 19 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /n"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /j"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /l"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /e"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /a"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /q"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /d"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /p"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /k"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /r"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /y"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /v"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /m"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /g"	65863c8e65ee8841e9899fc37b7c8a53.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /u"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /f"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /g"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /z"	qiisieh.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2444714103-3190537498-3629098939-1000\Software\Microsoft\Windows\CurrentVersion\Run\qiisieh = "C:\\Users\\Admin\\qiisieh.exe /i"	qiisieh.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 38 IoCs

pid	Process
2024	65863c8e65ee8841e9899fc37b7c8a53.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe
2724	qiisieh.exe

Suspicious use of SetWindowsHookEx 2 IoCs

pid	Process
2024	65863c8e65ee8841e9899fc37b7c8a53.exe
2724	qiisieh.exe

Suspicious use of WriteProcessMemory 4 IoCs

description	pid	Process	procid_target
PID 2024 wrote to memory of 2724	2024	65863c8e65ee8841e9899fc37b7c8a53.exe	28
PID 2024 wrote to memory of 2724	2024	65863c8e65ee8841e9899fc37b7c8a53.exe	28
PID 2024 wrote to memory of 2724	2024	65863c8e65ee8841e9899fc37b7c8a53.exe	28
PID 2024 wrote to memory of 2724	2024	65863c8e65ee8841e9899fc37b7c8a53.exe	28

C:\Users\Admin\AppData\Local\Temp\65863c8e65ee8841e9899fc37b7c8a53.exe
"C:\Users\Admin\AppData\Local\Temp\65863c8e65ee8841e9899fc37b7c8a53.exe"
1⤵
- Modifies visiblity of hidden/system files in Explorer
- Loads dropped DLL
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2024
- C:\Users\Admin\qiisieh.exe
  "C:\Users\Admin\qiisieh.exe"
  2⤵
  - Modifies visiblity of hidden/system files in Explorer
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of SetWindowsHookEx
  PID:2724

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

1

T1547

Registry Run Keys / Startup Folder

1

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

1

T1547

Registry Run Keys / Startup Folder

1

T1547.001

Defense Evasion

Hide Artifacts

1

T1564

Hidden Files and Directories

Modify Registry

Credential Access

Discovery

System Information Discovery

1

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\qiisieh.exe

Filesize
74KB

MD5
16347fcec5f06e98024a246d9c014969

SHA1
e19e2b01b9bdbc6bc9fba49a0143dd83bf5e3b25

SHA256
2bd5bc53e240e38fa2e9769d8524cfeb68bc1b8480b3cbd832f542e59513b952

SHA512
a11df949fc74cea8f16efaf821ba6947d0894d77cd18305db577eded69354d5d081f5ac185277098fe33bff65cec399f428f4ead6030872f86e17938c8e48ab5

Download Submit
C:\Users\Admin\qiisieh.exe

Filesize
39KB

MD5
9df2e75623e399bdbd7fdee399550528

SHA1
ad90b33847e69fcfacd8b34e7d5bd35c3ffeb115

SHA256
b4aac0011e85db75948abced074dedcc057f44ecfa78c7cbb3e977ff7daa41ea

SHA512
9ee4fc3e99c7d7bd854bd65476f2bc93cf84d691a5d57b95931b9d295f8ef9146d7a6578588b6d22bde5c5a5a7b8d170c5718c4314684813a14aa245106a7bf1

Download Submit
C:\Users\Admin\qiisieh.exe

Filesize
43KB

MD5
a7094b67fad5fe16519923abe522b2f4

SHA1
7c8b2a6b81bd316c1f7c23189893d9d023a947de

SHA256
f22081ac6c854208e0a40de4a1325bb736200a01377b82edac1d06b95eb2e5ec

SHA512
b477b13a0719b9db6f2ea52dbbc2499c5f2a755000a17418ee9bf2dfaff6e16a891885697d6b06b4070ae3c2573a2856a43ec868358f71aac373cea394a21273

Download Submit
\Users\Admin\qiisieh.exe

Filesize
108KB

MD5
f77057e178edcfb6010f65546a26822c

SHA1
4f2834986347d3838e5cc27d4cba7a069544ef19

SHA256
c6bf9910f6c1000af9fdf80276fa2a2b07418827c3d7f3438dbd60ed5136a021

SHA512
3e29fd445bc91f7b24af429d0eacefbb4b89eade2485047eaab93b2cf0038e56752a92e189d02a3775d689c527cce04c9f92a87869c623e50c245331d58183b0

Download Submit
\Users\Admin\qiisieh.exe

Filesize
19KB

MD5
a7c9f2785a1c76f3d8dc6a75edd08e68

SHA1
fa150318649f1a09caa4839aa0a758dea18964e1

SHA256
0a80b5d2725da7e7b92b13e0f6e299b8446166c553a2e9ea46e293618f7d8f58

SHA512
3d6c7220866105c30a73fadc848a65de0ac1564ab1b277402864930fab813bcd9926a770f84bba52a0d91b5cb31aa7d1a6d1fca407ebafac0d7295d4fa4ccdf1

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads