Windows 7 deprecation

Windows 7 will be removed from tria.ge on 2025-03-31

General

  • Target

    5d7484bf4708bcb93121c12166e62abbe3f86ec6dfa619ab789f5bd0fada4a89N

  • Size

    477KB

  • Sample

    241005-chq9watcmg

  • MD5

    b9176e926bb03f63a66c897cd3320a60

  • SHA1

    ef3d2efbbca78d71ab7dba9fa7cd253e904a2a36

  • SHA256

    5d7484bf4708bcb93121c12166e62abbe3f86ec6dfa619ab789f5bd0fada4a89

  • SHA512

    4451cef66e0191c3f66b5c8b0ef2bf2f77fdb1fbd9758b8249d423d7c1ac3f8d514f429c10f54d8ccbeff65c604ef4202b6eed3588b0783155a4024010ee10de

  • SSDEEP

    6144:vjBz5sl1bon/TNId/1fon/T9P7GSon/TNId/1fon/T2oI0YokOsfY7Uony:O6NIVyeNIVy2oIvPKO

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      5d7484bf4708bcb93121c12166e62abbe3f86ec6dfa619ab789f5bd0fada4a89N

    • Size

      477KB

    • MD5

      b9176e926bb03f63a66c897cd3320a60

    • SHA1

      ef3d2efbbca78d71ab7dba9fa7cd253e904a2a36

    • SHA256

      5d7484bf4708bcb93121c12166e62abbe3f86ec6dfa619ab789f5bd0fada4a89

    • SHA512

      4451cef66e0191c3f66b5c8b0ef2bf2f77fdb1fbd9758b8249d423d7c1ac3f8d514f429c10f54d8ccbeff65c604ef4202b6eed3588b0783155a4024010ee10de

    • SSDEEP

      6144:vjBz5sl1bon/TNId/1fon/T9P7GSon/TNId/1fon/T2oI0YokOsfY7Uony:O6NIVyeNIVy2oIvPKO

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks