Manuel Statik Analiz — BumbleBee Loader | Tehdit: KRITIK

文件 Kimligi

SHA256670781d0d35582d3094cf375a43c59cfba157e0a99fe919e462ad06045f0843c
大小1.852.656 byte (1.8MB)
String Sayisi7.909

C2 Konfigurasyonu (Sifrelenmis)

wC2%]     -- Sifrelenmis C2 config fragmenti
FC2ER     -- C2 referansi
ZC2;a     -- C2 sekman isaretcisi
j4 =c2Z   -- C2 config bayti

TLS Sertifikasi

http://crl.globalsign.com/ca/gstsacasha384g4.crl
-- GlobalSign SHA384 CA sertifikasi
-- BumbleBee HTTPS C2 trafinini mesgru TLS ile gizler

BumbleBee Hakkinda

BumbleBee, 2022 yilinda C++ ile yazilmis loader ailesidir. Google Ads ve phishing ile dagitilir. Cobalt Strike, Meterpreter, Sliver yukler. AES sifrelenmis HTTPS C2 kullanir.

IOC

SHA256670781d0d35582d3094cf375a43c59cfba157e0a99fe919e462ad06045f0843c
C2 ProtokolHTTPS + TLS (GlobalSign)

BumbleBee — 恶意软件档案

Bumblebee, 2022 den aktif C++ loader. Conti/Lazarus bağlantılı. ISO/VHD/LNK dağıtım. Cobalt Strike dropper. Anti-debug.

恶意软件类型
Loader
编程语言
C++
C2协议
HTTPS
目标系统
Windows

技术细节

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

能力与行为

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC列表 (1 个指标)

IOC — BumbleBee
# SHA256 670781d0d35582d3094cf375a43c59cfba157e0a99fe919e462ad06045f0843c
类型备注
sha256 670781d0d35582d3094cf375a43c59cfba157e0a99fe919e462ad06045f0843c

C2服务器 (该家族共有 3 台已记录服务器)

地址 类型 端口 协议 状态 国家
odoca.com domain 443 HTTPS active —
108.61.55.248 ip 443 HTTPS inactive US
45.8.146.78 ip 443 HTTPS inactive RU

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
bumblebeeloadertlscobalt-strikehttpssifrelenmis-c2