General

  • Target

    b61d1b63dc1e8bdcdf855c430ecfc16b_JaffaCakes118

  • Size

    10.4MB

  • Sample

    240822-dkjs9avhjg

  • MD5

    b61d1b63dc1e8bdcdf855c430ecfc16b

  • SHA1

    e4685cb8db8de8f0f41573d5361f9a1b26eefc47

  • SHA256

    0443e447b5af5dc9b28207adbf03126acfd49a70f6c3fd6b25b6c86e20bd2954

  • SHA512

    df99fb67e282cddb74d0323ffc769045777d4c57ea77996393248d3579c45ba95ec80465ed2b214d9aad9099386789437fa38e25b4355fbbc813fc6a566b411f

  • SSDEEP

    196608:UV6666666666666666666666666666666666666666666666666666666666666n:66666666666666666666666666666666

Malware Config

Extracted

Family

tofsee

C2

defeatwax.ru

refabyd.info

Targets

    • Target

      b61d1b63dc1e8bdcdf855c430ecfc16b_JaffaCakes118

    • Size

      10.4MB

    • MD5

      b61d1b63dc1e8bdcdf855c430ecfc16b

    • SHA1

      e4685cb8db8de8f0f41573d5361f9a1b26eefc47

    • SHA256

      0443e447b5af5dc9b28207adbf03126acfd49a70f6c3fd6b25b6c86e20bd2954

    • SHA512

      df99fb67e282cddb74d0323ffc769045777d4c57ea77996393248d3579c45ba95ec80465ed2b214d9aad9099386789437fa38e25b4355fbbc813fc6a566b411f

    • SSDEEP

      196608:UV6666666666666666666666666666666666666666666666666666666666666n:66666666666666666666666666666666

    • Tofsee

      Backdoor/botnet which carries out malicious activities based on commands from a C2 server.

    • Windows security bypass

    • Creates new service(s)

    • Modifies Windows Firewall

    • Sets service image path in registry

    • Checks computer location settings

      Looks up country code configured in the registry, likely geofence.

    • Deletes itself

    • Executes dropped EXE

    • Suspicious use of SetThreadContext

MITRE ATT&CK Enterprise v15

Tasks