Managed XDR

d90ac5e5-95f4-4b60-8c2...0665ae1c16_follina.doc (Follina) — отчёт о динамическом анализе вредоносного файла

Информация о файле

Имя файла
d90ac5e5-95f4-4b60-8c24-580665ae1c16_follina.doc
Тип файла
Zip archive data, at least v2.0 to extract
Размер файла
9.1 KB
Первое обнаружение
Последнее обнаружение

Окружение

w10/x86 en

Хеши

SHA1
f4971b06bf479da8b76b9e25fbcc4c523e105a96
SHA256
21852af26e49e105cf71463226e5bf7d2d78e06e9255c0dc3a6ae6ed89ccb76b
MD5
90b74f70e755acc174db04ced170e452

Вредоносное ПО

  • Follina

Сигнатуры

Initial Access

T1192 downloader_ms_word: Suspicious link to an external file (Microsoft Word)

Execution

T1203 exploit_CVE_2022_30190: Exploitation of Follina (CVE-2022-30190) Vulnerability
T1204.002 office_com_load: Microsoft Office loads COM DLL files (indicator of COM usage in macros)

Defense Evasion

T1497 evasion_trustrecords: Attempts to detect Sandbox exploring trusted documents

Discovery

T1497 evasion_trustrecords: Attempts to detect Sandbox exploring trusted documents

Command and Control

T1071.001 network_http: Performs HTTP requests
T1071.001 winhttp_https: Performs HTTP/HTTPS requests using WinHttp

Other

yara_rules: Static rules
dead_host: Connects to IP addresses that do not respond to requests
test_check_service: Starts services

Похожие отчёты