Malware Analysis Report

2024-11-16 13:36

Sample ID 240528-hkv9haba55
Target Уолтер Уайт звонит, прими звонок.exe
SHA256 a261eb0a0a1645eb704acc340579f4954677a9308a3a3fff7f18a8fa9fbe5639
Tags
xworm execution persistence rat trojan
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

a261eb0a0a1645eb704acc340579f4954677a9308a3a3fff7f18a8fa9fbe5639

Threat Level: Known bad

The file Уолтер Уайт звонит, прими звонок.exe was found to be: Known bad.

Malicious Activity Summary

xworm execution persistence rat trojan

Detect Xworm Payload

Xworm

Command and Scripting Interpreter: PowerShell

Loads dropped DLL

Drops startup file

Adds Run key to start application

Looks up external IP address via web service

Suspicious use of NtSetInformationThreadHideFromDebugger

Unsigned PE

Enumerates physical storage devices

Suspicious use of SetWindowsHookEx

Suspicious use of WriteProcessMemory

Suspicious behavior: EnumeratesProcesses

Suspicious use of AdjustPrivilegeToken

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-05-28 06:48

Signatures

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral2

Detonation Overview

Submitted

2024-05-28 06:48

Reported

2024-05-28 06:51

Platform

win10v2004-20240508-en

Max time kernel

143s

Max time network

102s

Command Line

"C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe"

Signatures

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe

"C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe"

Network

Country Destination Domain Proto
US 8.8.8.8:53 97.17.167.52.in-addr.arpa udp
US 8.8.8.8:53 172.210.232.199.in-addr.arpa udp
US 8.8.8.8:53 72.32.126.40.in-addr.arpa udp
NL 23.62.61.129:443 www.bing.com tcp
US 8.8.8.8:53 43.58.199.20.in-addr.arpa udp
US 8.8.8.8:53 129.61.62.23.in-addr.arpa udp
US 8.8.8.8:53 183.142.211.20.in-addr.arpa udp
US 8.8.8.8:53 50.23.12.20.in-addr.arpa udp
US 8.8.8.8:53 15.164.165.52.in-addr.arpa udp
US 8.8.8.8:53 98.58.20.217.in-addr.arpa udp
US 8.8.8.8:53 152.107.17.2.in-addr.arpa udp
US 8.8.8.8:53 240.221.184.93.in-addr.arpa udp
US 8.8.8.8:53 29.243.111.52.in-addr.arpa udp
US 8.8.8.8:53 tse1.mm.bing.net udp
US 204.79.197.200:443 tse1.mm.bing.net tcp
US 204.79.197.200:443 tse1.mm.bing.net tcp
US 8.8.8.8:53 205.47.74.20.in-addr.arpa udp
US 8.8.8.8:53 200.197.79.204.in-addr.arpa udp

Files

memory/2012-0-0x00000000000C0000-0x00000000004A0000-memory.dmp

memory/2012-1-0x0000000003380000-0x0000000003381000-memory.dmp

memory/2012-2-0x00000000000C0000-0x00000000004A0000-memory.dmp

Analysis: behavioral1

Detonation Overview

Submitted

2024-05-28 06:48

Reported

2024-05-28 06:51

Platform

win7-20240221-en

Max time kernel

141s

Max time network

143s

Command Line

"C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe"

Signatures

Detect Xworm Payload

Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A

Xworm

trojan rat xworm

Drops startup file

Description Indicator Process Target
File created C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Loads dropped DLL

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Adds Run key to start application

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-3452737119-3959686427-228443150-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Users\\Admin\\AppData\\Roaming\\svchost.exe" C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Looks up external IP address via web service

Description Indicator Process Target
N/A ip-api.com N/A N/A

Suspicious use of NtSetInformationThreadHideFromDebugger

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Enumerates physical storage devices

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 2272 wrote to memory of 2416 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2416 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2416 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2416 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2464 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2464 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2464 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2464 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2452 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2452 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2452 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2452 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2124 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2124 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2124 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2272 wrote to memory of 2124 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

Processes

C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe

"C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe"

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'Уолтер Уайт звонит, прими звонок.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Roaming\svchost.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'svchost.exe'

Network

Country Destination Domain Proto
US 8.8.8.8:53 ip-api.com udp
US 208.95.112.1:80 ip-api.com tcp
US 8.8.8.8:53 19.ip.gl.ply.gg udp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp

Files

memory/2272-0-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-1-0x00000000000A0000-0x00000000000A1000-memory.dmp

memory/2272-2-0x00000000740FE000-0x00000000740FF000-memory.dmp

memory/2272-3-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-4-0x00000000740F0000-0x00000000747DE000-memory.dmp

memory/2272-5-0x0000000001150000-0x0000000001530000-memory.dmp

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms

MD5 d6ba4561ec2f6dfbb35b395e2659f760
SHA1 62bcff067bcbf5c3bf145e9b3f4a41683e6489ae
SHA256 8909aaaa9d3147766d20bd42a4f8880e8a8be2a78cc5aaa5fd8bf19c3f6f9e13
SHA512 ede7964541c6ce0cdcfbdb1a81d0aeb78b991e81bbf5a5749f2aa6ac0b7069ac7d82eac5ea66eb03cae9b7f111d94ac42079142b7f5585790569aed0ea63b2f2

memory/2272-28-0x0000000002FE0000-0x0000000002FF0000-memory.dmp

\Users\Admin\AppData\Roaming\svchost.exe

MD5 125804856ef3d0de3e8af8c110b49f93
SHA1 5a6aab0ec49536fd531de79e8769f7c40c67003a
SHA256 a261eb0a0a1645eb704acc340579f4954677a9308a3a3fff7f18a8fa9fbe5639
SHA512 a91aa797093ac1cab925f889b9b9d2107c76441f207f7ffb6aec605b2ce11c324f75d0ded61eed2c089dd8c2c5eaa301402c3d0c59623f716f8bf6dbb736f8d3

memory/2272-29-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-31-0x00000000000A0000-0x00000000000A1000-memory.dmp

memory/2272-30-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-32-0x00000000740FE000-0x00000000740FF000-memory.dmp

memory/2272-33-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-34-0x00000000740F0000-0x00000000747DE000-memory.dmp

memory/2272-35-0x0000000002FE0000-0x0000000002FF0000-memory.dmp

memory/2272-36-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-37-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-38-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-40-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-41-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-42-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-43-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-44-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-45-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-46-0x0000000001150000-0x0000000001530000-memory.dmp

memory/2272-47-0x0000000001150000-0x0000000001530000-memory.dmp