General

  • Target

    e0a9ef38f65d7d2f909db84733c0e66c

  • Size

    13.8MB

  • Sample

    240327-d43qgaeg21

  • MD5

    e0a9ef38f65d7d2f909db84733c0e66c

  • SHA1

    66bbd23caa023a99c3c0b44dd1af1d03a919ca54

  • SHA256

    4cdabd75e610ba709a80cdf6ae7e4b7e170e0522e1c8b32066ac8e917697c128

  • SHA512

    2be8f23e7a6f9dbd176174a56111b46113d29ae4ed9f8c746440f468644b9d45718ed0263f2b16896a8a7b458daf1ec0323f63100f4d4c05c3c8b7a9adb5a90d

  • SSDEEP

    49152:q66666666666666666666666666666666666666666666666666666666666666j:

Malware Config

Extracted

Family

tofsee

C2

43.231.4.6

lazystax.ru

Targets

    • Target

      e0a9ef38f65d7d2f909db84733c0e66c

    • Size

      13.8MB

    • MD5

      e0a9ef38f65d7d2f909db84733c0e66c

    • SHA1

      66bbd23caa023a99c3c0b44dd1af1d03a919ca54

    • SHA256

      4cdabd75e610ba709a80cdf6ae7e4b7e170e0522e1c8b32066ac8e917697c128

    • SHA512

      2be8f23e7a6f9dbd176174a56111b46113d29ae4ed9f8c746440f468644b9d45718ed0263f2b16896a8a7b458daf1ec0323f63100f4d4c05c3c8b7a9adb5a90d

    • SSDEEP

      49152:q66666666666666666666666666666666666666666666666666666666666666j:

    • Tofsee

      Backdoor/botnet which carries out malicious activities based on commands from a C2 server.

    • Windows security bypass

    • Creates new service(s)

    • Modifies Windows Firewall

    • Sets service image path in registry

    • Checks computer location settings

      Looks up country code configured in the registry, likely geofence.

    • Deletes itself

    • Executes dropped EXE

    • Suspicious use of SetThreadContext

MITRE ATT&CK Enterprise v15

Tasks