General

  • Target

    92b98a8e28251bf324d01b3da445746d2f552bdc6ed4c60d9a03e5556beacf3f

  • Size

    248KB

  • Sample

    241110-aw9x2avlex

  • MD5

    dc9b0d155aee41b0dded8700bf65d22b

  • SHA1

    a7b4eef3c5a2aafad68c8951f049f765f4c82e86

  • SHA256

    92b98a8e28251bf324d01b3da445746d2f552bdc6ed4c60d9a03e5556beacf3f

  • SHA512

    7f836b6e35cb30e5b96c63da1dfc95fdfbd6dbddd583950b68dfd83a11fe8d3ed6731f8d966b6443325791b1668d8b364846c90acfe7ae19614cd8813f643e66

  • SSDEEP

    3072:KZkuAzk7l6EYLQOEyKFgxe12VAURfE+HXAB0kCySYo0B:KSkM1LQlb2Rs+HXc0uo0B

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      92b98a8e28251bf324d01b3da445746d2f552bdc6ed4c60d9a03e5556beacf3f

    • Size

      248KB

    • MD5

      dc9b0d155aee41b0dded8700bf65d22b

    • SHA1

      a7b4eef3c5a2aafad68c8951f049f765f4c82e86

    • SHA256

      92b98a8e28251bf324d01b3da445746d2f552bdc6ed4c60d9a03e5556beacf3f

    • SHA512

      7f836b6e35cb30e5b96c63da1dfc95fdfbd6dbddd583950b68dfd83a11fe8d3ed6731f8d966b6443325791b1668d8b364846c90acfe7ae19614cd8813f643e66

    • SSDEEP

      3072:KZkuAzk7l6EYLQOEyKFgxe12VAURfE+HXAB0kCySYo0B:KSkM1LQlb2Rs+HXc0uo0B

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Berbew family

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks