Bu rehber, gerçek BumbleBee örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

BumbleBee Nedir?

BumbleBee, ilk olarak 2020 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

BumbleBee, Zararlı Yükleyici (Loader) kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, hedef sisteme ek zararlı yazılım yüklemek amacıyla tasarlanmış modüler bir yükleyici (loader) olarak tespit edilmiştir. Genellikle spam kampanyaları veya drive-by download saldırıları aracılığıyla dağıtılan bu yükleyici, sisteme sızdıktan sonra banka

Atıf / Tehdit Aktörü: NULL

Teknik Detay: Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek BumbleBee örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
670781d0d35582d3094cf375a43c59cfba157e0a99fe919e462ad06045f0843cSHA256NULL
f0938d8873f1cd195798d5c2db7edca33acc62e89a53b0727f1c4b27d8205d06SHA256NULL
640c518ff312e024c1e3bb198a2240c59b2205ab562053a1e644276592a5c07dSHA256NULL
0c9569cf1f8592b1e60e81d2bede54ca33a228955696b6d996e8cc0f7ff09732SHA256NULL
5e2382ba5822edc0780c09f58a5a13bc737ac9cc846d89a93a862a64262947eaSHA256NULL
a2c54c9b26b8e4f99809ed2045b53d52MD5NULL
ab5e48db976ff58523159bb5bf10dda5MD5NULL
04f0e89e8d568d05d4876faccaf078f7MD5NULL
fc7ff175d1bb2f8b3c9953715b720039MD5NULL
35c783567e26df468686248c5b0fafa7MD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — BumbleBee Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.