Windows 7 deprecation

Windows 7 will be removed from tria.ge on 2025-03-31

General

  • Target

    Backdoor.Win32.Berbew.pz-272e783d33d682af44f9955ba1f46459954a2350304a3b9ed30a55e5608b3b2eN

  • Size

    64KB

  • Sample

    240916-tnjknaxbnq

  • MD5

    e3a2a87e6dd9af60bcf8386ad1829e30

  • SHA1

    f226e5a8d56c3fea9050445543c3cdc6b34ab5df

  • SHA256

    272e783d33d682af44f9955ba1f46459954a2350304a3b9ed30a55e5608b3b2e

  • SHA512

    52ab569dcaf6288b8e0d518b7470574c8277defa0067a75e417bb9a215cc519626725c6e26cd5c0dfda4988b41cdedcf2e32ecf756e4de72ab6a4d3d2fc93113

  • SSDEEP

    768:CqHRjhbT0aGvVjNWHvNlaJBoubPQpunZnPBLhuR/1H5lxeOEFEkzWpeAbMb6Lqyz:nzbQaGrcTaJBousInMvxeO6XKhbMbt2

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      Backdoor.Win32.Berbew.pz-272e783d33d682af44f9955ba1f46459954a2350304a3b9ed30a55e5608b3b2eN

    • Size

      64KB

    • MD5

      e3a2a87e6dd9af60bcf8386ad1829e30

    • SHA1

      f226e5a8d56c3fea9050445543c3cdc6b34ab5df

    • SHA256

      272e783d33d682af44f9955ba1f46459954a2350304a3b9ed30a55e5608b3b2e

    • SHA512

      52ab569dcaf6288b8e0d518b7470574c8277defa0067a75e417bb9a215cc519626725c6e26cd5c0dfda4988b41cdedcf2e32ecf756e4de72ab6a4d3d2fc93113

    • SSDEEP

      768:CqHRjhbT0aGvVjNWHvNlaJBoubPQpunZnPBLhuR/1H5lxeOEFEkzWpeAbMb6Lqyz:nzbQaGrcTaJBousInMvxeO6XKhbMbt2

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks