General

  • Target

    Backdoor.Win32.Berbew.AA.MTB-0915cfdbe7212abb5b47af111733d0ea36336ad5331ad062a893eab1914a908dN

  • Size

    82KB

  • Sample

    240916-nn7plavfma

  • MD5

    cb031f0248715acc83a3e7c3ce5f5590

  • SHA1

    df1db4bb3b1530a2ebf37e94af80e4761366534b

  • SHA256

    0915cfdbe7212abb5b47af111733d0ea36336ad5331ad062a893eab1914a908d

  • SHA512

    a57d614fe0580a2d4ee4ce841e9dc79f56855e145e16f4e128cdf1786ca0b027023f3020d793f17dc4890e4ad37055bd8ca7f4ddfd854970f6bdc743a36014f3

  • SSDEEP

    1536:2FRZDEyUBqJWipuIv/gh88wJr7qPP2L7+Opm6+wDSmQFN6TiN1sJtvQu:2cKpTXgu8w2Uhpm6tm7N6TO1SpD

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      Backdoor.Win32.Berbew.AA.MTB-0915cfdbe7212abb5b47af111733d0ea36336ad5331ad062a893eab1914a908dN

    • Size

      82KB

    • MD5

      cb031f0248715acc83a3e7c3ce5f5590

    • SHA1

      df1db4bb3b1530a2ebf37e94af80e4761366534b

    • SHA256

      0915cfdbe7212abb5b47af111733d0ea36336ad5331ad062a893eab1914a908d

    • SHA512

      a57d614fe0580a2d4ee4ce841e9dc79f56855e145e16f4e128cdf1786ca0b027023f3020d793f17dc4890e4ad37055bd8ca7f4ddfd854970f6bdc743a36014f3

    • SSDEEP

      1536:2FRZDEyUBqJWipuIv/gh88wJr7qPP2L7+Opm6+wDSmQFN6TiN1sJtvQu:2cKpTXgu8w2Uhpm6tm7N6TO1SpD

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks