Windows 7 deprecation

Windows 7 will be removed from tria.ge on 2025-03-31

General

  • Target

    1021543abf89fe7035b2499fd59d45ced5fb7373e8fc09003e66bc23f4823950N

  • Size

    548KB

  • Sample

    240930-ej5j1axapl

  • MD5

    ea5fcef041231b6ad661ef0286941d00

  • SHA1

    f5856708ac3c4051fdfc45ceb556350208ce4b69

  • SHA256

    1021543abf89fe7035b2499fd59d45ced5fb7373e8fc09003e66bc23f4823950

  • SHA512

    17d34eeab5eec491f6865a517af7e0106eaf2e7ef2d52d1a76dc8ca6345908e2add3661b61593bcee1b7096050336d5ca722c9d40621262a2811dd7ee17d0532

  • SSDEEP

    12288:cFXTUv/6IveDVqvQ6IvBaSHaMaZRBEYyqmaf2qwiHPKgRC4gvGZ+C8lM1:cNAq5htaSHFaZRBEYyqmaf2qwiHPKgRP

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      1021543abf89fe7035b2499fd59d45ced5fb7373e8fc09003e66bc23f4823950N

    • Size

      548KB

    • MD5

      ea5fcef041231b6ad661ef0286941d00

    • SHA1

      f5856708ac3c4051fdfc45ceb556350208ce4b69

    • SHA256

      1021543abf89fe7035b2499fd59d45ced5fb7373e8fc09003e66bc23f4823950

    • SHA512

      17d34eeab5eec491f6865a517af7e0106eaf2e7ef2d52d1a76dc8ca6345908e2add3661b61593bcee1b7096050336d5ca722c9d40621262a2811dd7ee17d0532

    • SSDEEP

      12288:cFXTUv/6IveDVqvQ6IvBaSHaMaZRBEYyqmaf2qwiHPKgRC4gvGZ+C8lM1:cNAq5htaSHFaZRBEYyqmaf2qwiHPKgRP

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks