General

  • Target

    e0fc69d78bdf8a4e6840127165c3ac15ed5976b0bf30e32194e70ab1a1e7b32fN

  • Size

    976KB

  • Sample

    241001-pwhwwazdmq

  • MD5

    e6ede0b1800840ae263232a71f5848f0

  • SHA1

    9b38cdb6ad255bd9173f47561f48c0785fefdc27

  • SHA256

    e0fc69d78bdf8a4e6840127165c3ac15ed5976b0bf30e32194e70ab1a1e7b32f

  • SHA512

    4c7dbfd6632f7b4969ec6ae2fd76a9e27b62e16b632ef0049a976a01e302f6fb8f20eaf28c9496a145a99f7d8bfe916d1b123358ca6db4402f160af45e6ea8ea

  • SSDEEP

    12288:3rkjNNIVyeNIVy2oIvPKiKfzKNIVyeNIVy2oIvPKiKO:bkjNNIVyeNIVy2jUfzKNIVyeNIVy2jUO

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      e0fc69d78bdf8a4e6840127165c3ac15ed5976b0bf30e32194e70ab1a1e7b32fN

    • Size

      976KB

    • MD5

      e6ede0b1800840ae263232a71f5848f0

    • SHA1

      9b38cdb6ad255bd9173f47561f48c0785fefdc27

    • SHA256

      e0fc69d78bdf8a4e6840127165c3ac15ed5976b0bf30e32194e70ab1a1e7b32f

    • SHA512

      4c7dbfd6632f7b4969ec6ae2fd76a9e27b62e16b632ef0049a976a01e302f6fb8f20eaf28c9496a145a99f7d8bfe916d1b123358ca6db4402f160af45e6ea8ea

    • SSDEEP

      12288:3rkjNNIVyeNIVy2oIvPKiKfzKNIVyeNIVy2oIvPKiKO:bkjNNIVyeNIVy2jUfzKNIVyeNIVy2jUO

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks