Analysis
-
max time kernel
150s -
max time network
152s -
platform
windows10-2004_x64 -
resource
win10v2004-20240426-en -
resource tags
arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system -
submitted
21-05-2024 13:39
Behavioral task
behavioral1
Sample
57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe
Resource
win7-20240221-en
General
-
Target
57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe
-
Size
1004KB
-
MD5
39fbf397ea1f659abce5bd6c03ea1b10
-
SHA1
e886dc1631da51cc9e86a76df159c9b85e6ac7a4
-
SHA256
57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b
-
SHA512
65d892d897b39b6b4a43666bc8ff4c4715e5ed435b2e551fb8afb34e424295b020371ed40a53d691e90827371858bb4650eeb64503f168a83b1daf83a93a4f02
-
SSDEEP
24576:3MUge+fns8RTRmlw3VURLrxOmpMXoa/ZSCBHn677:3h7aRT3SR5IogVBHn6
Malware Config
Signatures
-
Malware Dropper & Backdoor - Berbew 1 IoCs
Berbew is a backdoor Trojan malware with capabilities to download and install a range of additional malicious software, such as other Trojans, ransomware, and cryptominers.
resource yara_rule behavioral2/files/0x000b0000000233f8-5.dat family_berbew -
Deletes itself 1 IoCs
pid Process 3992 57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe -
Executes dropped EXE 1 IoCs
pid Process 3992 57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe -
Legitimate hosting services abused for malware hosting/C2 1 TTPs 2 IoCs
flow ioc 12 pastebin.com 13 pastebin.com -
Program crash 15 IoCs
pid pid_target Process procid_target 4780 3432 WerFault.exe 81 1916 3992 WerFault.exe 89 1608 3992 WerFault.exe 89 3160 3992 WerFault.exe 89 5104 3992 WerFault.exe 89 1904 3992 WerFault.exe 89 4612 3992 WerFault.exe 89 812 3992 WerFault.exe 89 4708 3992 WerFault.exe 89 3244 3992 WerFault.exe 89 4872 3992 WerFault.exe 89 316 3992 WerFault.exe 89 3872 3992 WerFault.exe 89 3496 3992 WerFault.exe 89 1084 3992 WerFault.exe 89 -
Suspicious behavior: EnumeratesProcesses 2 IoCs
pid Process 3992 57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe 3992 57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe -
Suspicious behavior: RenamesItself 1 IoCs
pid Process 3432 57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe -
Suspicious use of UnmapMainImage 1 IoCs
pid Process 3992 57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe -
Suspicious use of WriteProcessMemory 3 IoCs
description pid Process procid_target PID 3432 wrote to memory of 3992 3432 57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe 89 PID 3432 wrote to memory of 3992 3432 57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe 89 PID 3432 wrote to memory of 3992 3432 57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe 89
Processes
-
C:\Users\Admin\AppData\Local\Temp\57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe"C:\Users\Admin\AppData\Local\Temp\57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe"1⤵
- Suspicious behavior: RenamesItself
- Suspicious use of WriteProcessMemory
PID:3432 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3432 -s 3522⤵
- Program crash
PID:4780
-
-
C:\Users\Admin\AppData\Local\Temp\57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exeC:\Users\Admin\AppData\Local\Temp\57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe2⤵
- Deletes itself
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of UnmapMainImage
PID:3992 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 3523⤵
- Program crash
PID:1916
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 6283⤵
- Program crash
PID:1608
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 6683⤵
- Program crash
PID:3160
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 6683⤵
- Program crash
PID:5104
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 7403⤵
- Program crash
PID:1904
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 8923⤵
- Program crash
PID:4612
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 14123⤵
- Program crash
PID:812
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 14803⤵
- Program crash
PID:4708
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 15163⤵
- Program crash
PID:3244
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 14843⤵
- Program crash
PID:4872
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 15123⤵
- Program crash
PID:316
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 14963⤵
- Program crash
PID:3872
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 14403⤵
- Program crash
PID:3496
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 6323⤵
- Program crash
PID:1084
-
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 432 -p 3432 -ip 34321⤵PID:2692
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 368 -p 3992 -ip 39921⤵PID:4704
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3992 -ip 39921⤵PID:4804
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 3992 -ip 39921⤵PID:1332
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 3992 -ip 39921⤵PID:2232
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3992 -ip 39921⤵PID:3744
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 3992 -ip 39921⤵PID:2224
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 3992 -ip 39921⤵PID:3948
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3992 -ip 39921⤵PID:3964
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3992 -ip 39921⤵PID:4648
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 3992 -ip 39921⤵PID:1656
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3992 -ip 39921⤵PID:1688
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 3992 -ip 39921⤵PID:4128
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 3992 -ip 39921⤵PID:3744
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3992 -ip 39921⤵PID:1888
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
C:\Users\Admin\AppData\Local\Temp\57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe
Filesize1004KB
MD5b4d86fdd635484fe51e2538c101984f5
SHA1ddae0389fff6e1d245694718f4c5aa25afd24d1e
SHA2565a87c9a3af1c65d2c0f0d2994282062f499442b5c9ff0e58ed7307b9d7ca941d
SHA512f1e5b2645752e486cc6cdb578eb1e725b75bbceb6645a77723f4c6dd61e10c48a2ea036dafdb02cf1b63e59436e3c72418796c62f4dd71f3eec450977cf93f9d