General

  • Target

    909562a0d0fd5614e5a1bed3747e54d9ce79e0716df39971edd1c82872b40abeN.exe

  • Size

    93KB

  • Sample

    241207-xxf3nstpfk

  • MD5

    dece43786af57e66f84a615f91e9d6d0

  • SHA1

    65ed0cf354a954210492959cbd0451109aa6eee9

  • SHA256

    909562a0d0fd5614e5a1bed3747e54d9ce79e0716df39971edd1c82872b40abe

  • SHA512

    04c3ca601b97bd630c0be51c56cc4b9ca6cf2fab2112bde3f13255d8286d0053c4fa5c3bb496e6314e98caa63fff48e3f194623cdecbaade4010ef31b9b8ce1e

  • SSDEEP

    1536:k/JknW3QYMud89zCoqhzpscqHmXlHy1DaYfMZRWuLsV+1T:k/eNudEzCSjWlHygYfc0DV+1T

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      909562a0d0fd5614e5a1bed3747e54d9ce79e0716df39971edd1c82872b40abeN.exe

    • Size

      93KB

    • MD5

      dece43786af57e66f84a615f91e9d6d0

    • SHA1

      65ed0cf354a954210492959cbd0451109aa6eee9

    • SHA256

      909562a0d0fd5614e5a1bed3747e54d9ce79e0716df39971edd1c82872b40abe

    • SHA512

      04c3ca601b97bd630c0be51c56cc4b9ca6cf2fab2112bde3f13255d8286d0053c4fa5c3bb496e6314e98caa63fff48e3f194623cdecbaade4010ef31b9b8ce1e

    • SSDEEP

      1536:k/JknW3QYMud89zCoqhzpscqHmXlHy1DaYfMZRWuLsV+1T:k/eNudEzCSjWlHygYfc0DV+1T

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Berbew family

    • Njrat family

    • njRAT/Bladabindi

      Widely used RAT written in .NET.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks