General

  • Target

    Trojan.Win32.Cerber.pz-b80edef3a682db307bff6ee2ea785b2f9df9155a7b35c6305a64d788c4b58064N

  • Size

    64KB

  • Sample

    240916-nh81gavdnj

  • MD5

    c5f9524572137576cb523f8eb8b51740

  • SHA1

    01f35cbe3e630c75b54ae2fc51544f40137c7bd3

  • SHA256

    b80edef3a682db307bff6ee2ea785b2f9df9155a7b35c6305a64d788c4b58064

  • SHA512

    80dd7e111ad4ce181077df1696f01dadd60a5197f8ee83e5458dd0f14f3b260a2bd8396bc57a24ad4f7a7aab65c2ba8175c904ccdf71bf53396144e3c8d9316a

  • SSDEEP

    768:L5kigL+2DgHjtWo8/T2jdz0SZLtCBpzM1edfcwx+TLwxG/1H58hXdnhgOPuM1DPf:LeixtWo7x/SpQ1edkw4/G82ZuYDPf

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      Trojan.Win32.Cerber.pz-b80edef3a682db307bff6ee2ea785b2f9df9155a7b35c6305a64d788c4b58064N

    • Size

      64KB

    • MD5

      c5f9524572137576cb523f8eb8b51740

    • SHA1

      01f35cbe3e630c75b54ae2fc51544f40137c7bd3

    • SHA256

      b80edef3a682db307bff6ee2ea785b2f9df9155a7b35c6305a64d788c4b58064

    • SHA512

      80dd7e111ad4ce181077df1696f01dadd60a5197f8ee83e5458dd0f14f3b260a2bd8396bc57a24ad4f7a7aab65c2ba8175c904ccdf71bf53396144e3c8d9316a

    • SSDEEP

      768:L5kigL+2DgHjtWo8/T2jdz0SZLtCBpzM1edfcwx+TLwxG/1H58hXdnhgOPuM1DPf:LeixtWo7x/SpQ1edkw4/G82ZuYDPf

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks