General

  • Target

    d345596583e08008c0ae5b6fe0f4931ccfae4b88597fcb0eaba36ae58986e517N

  • Size

    76KB

  • Sample

    241109-rxyd3avpgz

  • MD5

    63be1ca390d133ff0ae69b8b440e27e0

  • SHA1

    4e3f54aa86433cb0a40e5a234c32bc2b18f26e00

  • SHA256

    d345596583e08008c0ae5b6fe0f4931ccfae4b88597fcb0eaba36ae58986e517

  • SHA512

    743752aade11b81ec568ea3ce4a7779892641cafaccf3019276bf693740d34a3ff44f2c7efcf6d815a4deeba00472c10eca71d274cedec2e296407ccf6e601e4

  • SSDEEP

    1536:QhZi4hxPJaxbmE39lgeWKKdHioQV+/eCeyvCQ:6iW5JknWKKdHrk+

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://master-x.com/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://crutop.ru/index.php

http://kaspersky.ru/index.php

http://color-bank.ru/index.php

http://adult-empire.com/index.php

http://virus-list.com/index.php

http://trojan.ru/index.php

http://xware.cjb.net/index.htm

http://konfiskat.org/index.htm

http://parex-bank.ru/index.htm

http://fethard.biz/index.htm

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

Targets

    • Target

      d345596583e08008c0ae5b6fe0f4931ccfae4b88597fcb0eaba36ae58986e517N

    • Size

      76KB

    • MD5

      63be1ca390d133ff0ae69b8b440e27e0

    • SHA1

      4e3f54aa86433cb0a40e5a234c32bc2b18f26e00

    • SHA256

      d345596583e08008c0ae5b6fe0f4931ccfae4b88597fcb0eaba36ae58986e517

    • SHA512

      743752aade11b81ec568ea3ce4a7779892641cafaccf3019276bf693740d34a3ff44f2c7efcf6d815a4deeba00472c10eca71d274cedec2e296407ccf6e601e4

    • SSDEEP

      1536:QhZi4hxPJaxbmE39lgeWKKdHioQV+/eCeyvCQ:6iW5JknWKKdHrk+

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Berbew family

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks