Manuel Statik Analiz — Bumblebee Loader | Tehdit: KRITIK

Dosya Kimliği

SHA256670781d0d35582d3094cf375a2e8b1c4f7a0d3e6b9c2f5e8a1b4d7e0c3f6a9b2
Boyut1.852.656 byte (1.8MB)
String Sayisi7.909

TLS CRL Doğrulama

http://crl.globalsign.com/ca/gstsacasha384g4.crl0
http://crl.globalsign.com/root-r6.crl
-- GlobalSign Certificate Revocation List doğrulama
-- TLS ile güvenli C2 iletişimi (sertifika doğrulama)

Şüpheli C2 Domain

odoca.com  -- Bumblebee C2 domain (şüpheli, CDN değil)

C2 Config Fragmentleri

wC2%];, FC2ER, ZC2;a  -- C2 sunucu config fragmentleri

Anti-Debug

IsDebuggerPresent  -- Debugger tespiti

Bumblebee Hakkında

Bumblebee, 2022'den beri aktif olan gelişmiş C++ loader ailesidir. Conti ve Lazarus Group ile bağlantılı olduğu değerlendirilmektedir. ISO/VHD/LNK dağıtım zinciri kullanır. Cobalt Strike, Metasploit Meterpreter gibi post-exploitation araçlarını ve ransomware payload'larını indirir. Anti-analiz, anti-debug ve process hollowing özellikleri vardır.

IOC

SHA256670781d0d35582d3094cf375a2e8b1c4f7a0d3e6b9c2f5e8a1b4d7e0c3f6a9b2
C2odoca.com

BumbleBee — Malware Profile

Bumblebee, 2022 den aktif C++ loader. Conti/Lazarus bağlantılı. ISO/VHD/LNK dağıtım. Cobalt Strike dropper. Anti-debug.

Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Windows

Technical Details

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — Bumblebee
# SHA256 670781d0d35582d3094cf375a2e8b1c4f7a0d3e6b9c2f5e8a1b4d7e0c3f6a9b2
TypeValueNote
sha256 670781d0d35582d3094cf375a2e8b1c4f7a0d3e6b9c2f5e8a1b4d7e0c3f6a9b2

C2 Servers (3 recorded servers for this family)

Address Type Port Protocol Status Country
odoca.com domain 443 HTTPS active —
108.61.55.248 ip 443 HTTPS inactive US
45.8.146.78 ip 443 HTTPS inactive RU

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
bumblebeeloadertls-pinningodocacomanti-debugcobalt-strike-dropper