General

  • Target

    f977b7e3a54287d87ac97da5e9b6c228f156c95311ecf7a6905b0057ce402f93.exe

  • Size

    93KB

  • Sample

    241217-rj6taasldp

  • MD5

    6173b450ff25d109cdef284091ba96aa

  • SHA1

    c50bf27a2b3b16aa15e1306f1b62cecd00b6467e

  • SHA256

    f977b7e3a54287d87ac97da5e9b6c228f156c95311ecf7a6905b0057ce402f93

  • SHA512

    aa340dd90b427c95ecbbc95050f512eec8cc3c458ea44cd061d27a3022345b92dd80fc60be6b827512cd4acecf6a3ce791e1d571d955731975098868a4463775

  • SSDEEP

    1536:s6Uzm4nm5vpIxn1RjgBq0lZ9oCI7CO8qhNUr11DaYfMZRWuLsV+15:FU64m5xcnncBqeZ9oCImD1gYfc0DV+15

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      f977b7e3a54287d87ac97da5e9b6c228f156c95311ecf7a6905b0057ce402f93.exe

    • Size

      93KB

    • MD5

      6173b450ff25d109cdef284091ba96aa

    • SHA1

      c50bf27a2b3b16aa15e1306f1b62cecd00b6467e

    • SHA256

      f977b7e3a54287d87ac97da5e9b6c228f156c95311ecf7a6905b0057ce402f93

    • SHA512

      aa340dd90b427c95ecbbc95050f512eec8cc3c458ea44cd061d27a3022345b92dd80fc60be6b827512cd4acecf6a3ce791e1d571d955731975098868a4463775

    • SSDEEP

      1536:s6Uzm4nm5vpIxn1RjgBq0lZ9oCI7CO8qhNUr11DaYfMZRWuLsV+15:FU64m5xcnncBqeZ9oCImD1gYfc0DV+15

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Berbew family

    • Njrat family

    • njRAT/Bladabindi

      Widely used RAT written in .NET.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks