Manuel Statik Analiz — BumbleBee Loader | Tehdit: KRITIK

파일 Kimligi

SHA256670781d0d35582d3094cf375a43c59cfba157e0a99fe919e462ad06045f0843c
크기1.852.656 byte (1.8MB)
String Sayisi7.909

C2 Konfigurasyonu (Sifrelenmis)

wC2%]     -- Sifrelenmis C2 config fragmenti
FC2ER     -- C2 referansi
ZC2;a     -- C2 sekman isaretcisi
j4 =c2Z   -- C2 config bayti

TLS Sertifikasi

http://crl.globalsign.com/ca/gstsacasha384g4.crl
-- GlobalSign SHA384 CA sertifikasi
-- BumbleBee HTTPS C2 trafinini mesgru TLS ile gizler

BumbleBee Hakkinda

BumbleBee, 2022 yilinda C++ ile yazilmis loader ailesidir. Google Ads ve phishing ile dagitilir. Cobalt Strike, Meterpreter, Sliver yukler. AES sifrelenmis HTTPS C2 kullanir.

IOC

SHA256670781d0d35582d3094cf375a43c59cfba157e0a99fe919e462ad06045f0843c
C2 ProtokolHTTPS + TLS (GlobalSign)

BumbleBee — 악성코드 프로필

Bumblebee, 2022 den aktif C++ loader. Conti/Lazarus bağlantılı. ISO/VHD/LNK dağıtım. Cobalt Strike dropper. Anti-debug.

악성코드 유형
Loader
프로그래밍 언어
C++
C2 프로토콜
HTTPS
대상 시스템
Windows

기술 세부 정보

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

기능 및 동작

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC 목록 (1 개 지표)

IOC — BumbleBee
# SHA256 670781d0d35582d3094cf375a43c59cfba157e0a99fe919e462ad06045f0843c
유형메모
sha256 670781d0d35582d3094cf375a43c59cfba157e0a99fe919e462ad06045f0843c

C2 서버 (이 패밀리에 대해 3개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
odoca.com domain 443 HTTPS active —
108.61.55.248 ip 443 HTTPS inactive US
45.8.146.78 ip 443 HTTPS inactive RU

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
bumblebeeloadertlscobalt-strikehttpssifrelenmis-c2