General

  • Target

    Backdoor.Win32.Berbew.pz-00ad9539ec434c11e9af0dc5de68774104afee021ff0e7e7f18dfdb89bf3982cN

  • Size

    85KB

  • Sample

    240916-m4p9tatepg

  • MD5

    1f10a0a05ee6f32d16ec8fb816a783e0

  • SHA1

    49a1700d5c12caf2d639ec6ff89292c180400c48

  • SHA256

    00ad9539ec434c11e9af0dc5de68774104afee021ff0e7e7f18dfdb89bf3982c

  • SHA512

    819770972cedd7ac9b79133b18c987db458df87bbba18d2381b3ae4cbe3fa1af6f9f4e77299bd24bb178674a6e1b2c106a4976df71d06f6db7432c81ae9eae7c

  • SSDEEP

    1536:HxdtNxwhx2AH9YChti683sg4AD2LHqMQ262AjCsQ2PCZZrqOlNfVSLUK+:RBOPNH9Y56Az4AgHqMQH2qC7ZQOlzSLA

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      Backdoor.Win32.Berbew.pz-00ad9539ec434c11e9af0dc5de68774104afee021ff0e7e7f18dfdb89bf3982cN

    • Size

      85KB

    • MD5

      1f10a0a05ee6f32d16ec8fb816a783e0

    • SHA1

      49a1700d5c12caf2d639ec6ff89292c180400c48

    • SHA256

      00ad9539ec434c11e9af0dc5de68774104afee021ff0e7e7f18dfdb89bf3982c

    • SHA512

      819770972cedd7ac9b79133b18c987db458df87bbba18d2381b3ae4cbe3fa1af6f9f4e77299bd24bb178674a6e1b2c106a4976df71d06f6db7432c81ae9eae7c

    • SSDEEP

      1536:HxdtNxwhx2AH9YChti683sg4AD2LHqMQ262AjCsQ2PCZZrqOlNfVSLUK+:RBOPNH9Y56Az4AgHqMQH2qC7ZQOlzSLA

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks