Windows 7 deprecation

Windows 7 will be removed from tria.ge on 2025-03-31

General

  • Target

    8195c887325dad44546361dd81f0574cbf9cdbf1b945d01c4fe1f4a98e7c5263N

  • Size

    713KB

  • Sample

    241009-z4rtvsydpc

  • MD5

    e1210a107df64b13a71f0c5ac0a911d0

  • SHA1

    e69c900cc876b401c336d495286abd75e634ca12

  • SHA256

    8195c887325dad44546361dd81f0574cbf9cdbf1b945d01c4fe1f4a98e7c5263

  • SHA512

    987c89fabd2e6cf5aad13d65a70255b22d888b8f49f07c1aa7e078a267fd734376c98d530554b21f5300b2efd471c4698df94f17d1d4810833c223b6651a1a01

  • SSDEEP

    12288:SdvMDVqvQ6IvYvc6IveDVqvQ6IvBaSHaMaZRBEYyqmaf2qwiHPKgRC4gvGZ+C8lK:SS5h3q5htaSHFaZRBEYyqmaf2qwiHPKA

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      8195c887325dad44546361dd81f0574cbf9cdbf1b945d01c4fe1f4a98e7c5263N

    • Size

      713KB

    • MD5

      e1210a107df64b13a71f0c5ac0a911d0

    • SHA1

      e69c900cc876b401c336d495286abd75e634ca12

    • SHA256

      8195c887325dad44546361dd81f0574cbf9cdbf1b945d01c4fe1f4a98e7c5263

    • SHA512

      987c89fabd2e6cf5aad13d65a70255b22d888b8f49f07c1aa7e078a267fd734376c98d530554b21f5300b2efd471c4698df94f17d1d4810833c223b6651a1a01

    • SSDEEP

      12288:SdvMDVqvQ6IvYvc6IveDVqvQ6IvBaSHaMaZRBEYyqmaf2qwiHPKgRC4gvGZ+C8lK:SS5h3q5htaSHFaZRBEYyqmaf2qwiHPKA

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks