General

  • Target

    b6705014f7972d1aa16a8d83b759a4ce_JaffaCakes118

  • Size

    14.4MB

  • Sample

    240822-fnttqstamj

  • MD5

    b6705014f7972d1aa16a8d83b759a4ce

  • SHA1

    401f5d6ce1f6286a03e40c2cb184b9547b7e4d0f

  • SHA256

    bcb347e5894b4061f236cc7d68a2cabd2f912fd5888eb5dc621ae245d2dcb265

  • SHA512

    849cb83ac5b64ba00554ee9956034e11098a55eb731f0cfb149bb57d63776d6ce68b8c586af771f58246cbe7d5bb281ee63faf86229af19161b484aecbd1cf45

  • SSDEEP

    393216:w66666666666666666666666666666666666666666666666666666666666666n:

Malware Config

Extracted

Family

tofsee

C2

defeatwax.ru

refabyd.info

Targets

    • Target

      b6705014f7972d1aa16a8d83b759a4ce_JaffaCakes118

    • Size

      14.4MB

    • MD5

      b6705014f7972d1aa16a8d83b759a4ce

    • SHA1

      401f5d6ce1f6286a03e40c2cb184b9547b7e4d0f

    • SHA256

      bcb347e5894b4061f236cc7d68a2cabd2f912fd5888eb5dc621ae245d2dcb265

    • SHA512

      849cb83ac5b64ba00554ee9956034e11098a55eb731f0cfb149bb57d63776d6ce68b8c586af771f58246cbe7d5bb281ee63faf86229af19161b484aecbd1cf45

    • SSDEEP

      393216:w66666666666666666666666666666666666666666666666666666666666666n:

    • Tofsee

      Backdoor/botnet which carries out malicious activities based on commands from a C2 server.

    • Windows security bypass

    • Creates new service(s)

    • Modifies Windows Firewall

    • Sets service image path in registry

    • Checks computer location settings

      Looks up country code configured in the registry, likely geofence.

    • Deletes itself

    • Executes dropped EXE

    • Suspicious use of SetThreadContext

MITRE ATT&CK Enterprise v15

Tasks