General

  • Target

    9a157c72e5de451005009e96c8c53d1ee7a0aaed9b3af81aa7d2fa7cecafb05cN

  • Size

    64KB

  • Sample

    241107-habr4szmdr

  • MD5

    f82d9734fd6414bf8c63f75530b73680

  • SHA1

    71a2d53ef86d6d69b0df4a3eddd3d7295b9849a5

  • SHA256

    9a157c72e5de451005009e96c8c53d1ee7a0aaed9b3af81aa7d2fa7cecafb05c

  • SHA512

    274c8b1d073e16441b1b8926b7398598dba44384f9224c91fd34d50ee57f6901f44baba6d07762b7d50d13e7a335847750c4d7a88c4f8fce05e753277477d55e

  • SSDEEP

    1536:RKGV3oR8p5EWyk2nQmRxnEH2wKd+ISvmcTJ6IOEYg74e4j:svRvHRxnEH2wKPUpT+E2

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      9a157c72e5de451005009e96c8c53d1ee7a0aaed9b3af81aa7d2fa7cecafb05cN

    • Size

      64KB

    • MD5

      f82d9734fd6414bf8c63f75530b73680

    • SHA1

      71a2d53ef86d6d69b0df4a3eddd3d7295b9849a5

    • SHA256

      9a157c72e5de451005009e96c8c53d1ee7a0aaed9b3af81aa7d2fa7cecafb05c

    • SHA512

      274c8b1d073e16441b1b8926b7398598dba44384f9224c91fd34d50ee57f6901f44baba6d07762b7d50d13e7a335847750c4d7a88c4f8fce05e753277477d55e

    • SSDEEP

      1536:RKGV3oR8p5EWyk2nQmRxnEH2wKd+ISvmcTJ6IOEYg74e4j:svRvHRxnEH2wKPUpT+E2

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Berbew family

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks