Analysis

  • max time kernel
    150s
  • max time network
    152s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20240426-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system
  • submitted
    21-05-2024 13:39

General

  • Target

    57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe

  • Size

    1004KB

  • MD5

    39fbf397ea1f659abce5bd6c03ea1b10

  • SHA1

    e886dc1631da51cc9e86a76df159c9b85e6ac7a4

  • SHA256

    57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b

  • SHA512

    65d892d897b39b6b4a43666bc8ff4c4715e5ed435b2e551fb8afb34e424295b020371ed40a53d691e90827371858bb4650eeb64503f168a83b1daf83a93a4f02

  • SSDEEP

    24576:3MUge+fns8RTRmlw3VURLrxOmpMXoa/ZSCBHn677:3h7aRT3SR5IogVBHn6

Score
10/10

Malware Config

Signatures

  • Malware Dropper & Backdoor - Berbew 1 IoCs

    Berbew is a backdoor Trojan malware with capabilities to download and install a range of additional malicious software, such as other Trojans, ransomware, and cryptominers.

  • Deletes itself 1 IoCs
  • Executes dropped EXE 1 IoCs
  • Legitimate hosting services abused for malware hosting/C2 1 TTPs 2 IoCs
  • Program crash 15 IoCs
  • Suspicious behavior: EnumeratesProcesses 2 IoCs
  • Suspicious behavior: RenamesItself 1 IoCs
  • Suspicious use of UnmapMainImage 1 IoCs
  • Suspicious use of WriteProcessMemory 3 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe
    "C:\Users\Admin\AppData\Local\Temp\57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe"
    1⤵
    • Suspicious behavior: RenamesItself
    • Suspicious use of WriteProcessMemory
    PID:3432
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3432 -s 352
      2⤵
      • Program crash
      PID:4780
    • C:\Users\Admin\AppData\Local\Temp\57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe
      C:\Users\Admin\AppData\Local\Temp\57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe
      2⤵
      • Deletes itself
      • Executes dropped EXE
      • Suspicious behavior: EnumeratesProcesses
      • Suspicious use of UnmapMainImage
      PID:3992
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 352
        3⤵
        • Program crash
        PID:1916
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 628
        3⤵
        • Program crash
        PID:1608
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 668
        3⤵
        • Program crash
        PID:3160
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 668
        3⤵
        • Program crash
        PID:5104
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 740
        3⤵
        • Program crash
        PID:1904
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 892
        3⤵
        • Program crash
        PID:4612
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 1412
        3⤵
        • Program crash
        PID:812
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 1480
        3⤵
        • Program crash
        PID:4708
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 1516
        3⤵
        • Program crash
        PID:3244
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 1484
        3⤵
        • Program crash
        PID:4872
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 1512
        3⤵
        • Program crash
        PID:316
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 1496
        3⤵
        • Program crash
        PID:3872
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 1440
        3⤵
        • Program crash
        PID:3496
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3992 -s 632
        3⤵
        • Program crash
        PID:1084
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 432 -p 3432 -ip 3432
    1⤵
      PID:2692
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -pss -s 368 -p 3992 -ip 3992
      1⤵
        PID:4704
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3992 -ip 3992
        1⤵
          PID:4804
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 3992 -ip 3992
          1⤵
            PID:1332
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 3992 -ip 3992
            1⤵
              PID:2232
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3992 -ip 3992
              1⤵
                PID:3744
              • C:\Windows\SysWOW64\WerFault.exe
                C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 3992 -ip 3992
                1⤵
                  PID:2224
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 3992 -ip 3992
                  1⤵
                    PID:3948
                  • C:\Windows\SysWOW64\WerFault.exe
                    C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3992 -ip 3992
                    1⤵
                      PID:3964
                    • C:\Windows\SysWOW64\WerFault.exe
                      C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3992 -ip 3992
                      1⤵
                        PID:4648
                      • C:\Windows\SysWOW64\WerFault.exe
                        C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 3992 -ip 3992
                        1⤵
                          PID:1656
                        • C:\Windows\SysWOW64\WerFault.exe
                          C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3992 -ip 3992
                          1⤵
                            PID:1688
                          • C:\Windows\SysWOW64\WerFault.exe
                            C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 3992 -ip 3992
                            1⤵
                              PID:4128
                            • C:\Windows\SysWOW64\WerFault.exe
                              C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 3992 -ip 3992
                              1⤵
                                PID:3744
                              • C:\Windows\SysWOW64\WerFault.exe
                                C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3992 -ip 3992
                                1⤵
                                  PID:1888

                                Network

                                MITRE ATT&CK Enterprise v15

                                Replay Monitor

                                Loading Replay Monitor...

                                Downloads

                                • C:\Users\Admin\AppData\Local\Temp\57baf486e174f9cffc8b57e475c06790817972eed1394e7217f6d8193ae8ce0b_NeikiAnalytics.exe

                                  Filesize

                                  1004KB

                                  MD5

                                  b4d86fdd635484fe51e2538c101984f5

                                  SHA1

                                  ddae0389fff6e1d245694718f4c5aa25afd24d1e

                                  SHA256

                                  5a87c9a3af1c65d2c0f0d2994282062f499442b5c9ff0e58ed7307b9d7ca941d

                                  SHA512

                                  f1e5b2645752e486cc6cdb578eb1e725b75bbceb6645a77723f4c6dd61e10c48a2ea036dafdb02cf1b63e59436e3c72418796c62f4dd71f3eec450977cf93f9d

                                • memory/3432-0-0x0000000000400000-0x00000000004EF000-memory.dmp

                                  Filesize

                                  956KB

                                • memory/3432-6-0x0000000000400000-0x00000000004EF000-memory.dmp

                                  Filesize

                                  956KB

                                • memory/3992-7-0x0000000000400000-0x00000000004EF000-memory.dmp

                                  Filesize

                                  956KB

                                • memory/3992-9-0x0000000000400000-0x00000000004A3000-memory.dmp

                                  Filesize

                                  652KB

                                • memory/3992-14-0x0000000005110000-0x00000000051FF000-memory.dmp

                                  Filesize

                                  956KB

                                • memory/3992-21-0x0000000000400000-0x0000000000443000-memory.dmp

                                  Filesize

                                  268KB

                                • memory/3992-27-0x000000000B9B0000-0x000000000BA53000-memory.dmp

                                  Filesize

                                  652KB