เปเบเปเบเบทเบญเบเบกเบตเบเบฒ 2019, เบเบปเบงเบขเปเบฒเบเปเบซเบกเปเบเบญเบ macOS malware เบเบฒเบเบเบธเปเบก cyber OceanLotus เปเบเปเบเบทเบเบญเบฑเบเปเบซเบฅเบเปเบเบเบฑเบ VirusTotal, เบเปเบฅเบดเบเบฒเบเบชเบฐเปเบเบเบญเบญเบเปเบฅเบเปเบเบตเปเบเบดเบเบปเบก. เปเบเบฅเปเบเบฐเบเบดเบเบฑเบเบเบฒเบ backdoor เบกเบตเบเบงเบฒเบกเบชเบฒเบกเบฒเบเบเบฝเบงเบเบฑเบเบเบฑเบ macOS malware เบฎเบธเปเบเบเปเบญเบเบเบตเปเบเบงเบเปเบฎเบปเบฒเปเบเปเบชเบถเบเบชเบฒ, เปเบเปเปเบเบเบชเปเบฒเบเบเบญเบเบกเบฑเบเบกเบตเบเบฒเบเบเปเบฝเบเปเบเบเปเบฅเบฐเบกเบฑเบเปเบเปเบเบฒเบเปเบเบฑเบเบเบงเบฒเบกเบซเบเบธเปเบเบเบฒเบเบซเบผเบฒเบเบเบตเปเบเบฐเบเบงเบเบเบปเบ. เปเบเปเบซเบเปเบฒเปเบชเบเบเบฒเบ, เบเบงเบเปเบฎเบปเบฒเบเปเปเบชเบฒเบกเบฒเบเบเบญเบเบซเบฒ dropper เบเบตเปเบเปเบฝเบงเบเปเบญเบเบเบฑเบเบเบปเบงเบขเปเบฒเบเบเบตเป, เบเบฑเปเบเบเบฑเปเบเบเบงเบเปเบฎเบปเบฒเบเบฑเบเบเปเปเบฎเบนเป vector เบเบฒเบเบเบดเบเปเบเบทเปเบญ.
เบเบงเบเปเบฎเบปเบฒเบเบฑเบเบเบตเบกเบกเบฒเบเปเปเบเบปเบเบกเบฒเบเบตเป
ะะฝะฐะปะธะท
เบชเบฒเบกเบเบฒเบเบชเปเบงเบเบเปเปเปเบเบญเบฐเบเบดเบเบฒเบเบเบฒเบเบงเบดเปเบเบฒเบฐเบเบปเบงเบขเปเบฒเบเบเบตเปเบกเบต SHA-1 hash E615632C9998E4D3E5ACD8851864ED09B02C77D2
. เปเบเบฅเปเปเบกเปเบเปเบญเบตเปเบเบงเปเบฒ เปเบเบชเบฒเบ, เบเบฐเบฅเบดเบเบเบฐเบเบฑเบเบเปเบญเบเบเบฑเบเปเบงเบฃเบฑเบ ESET เบเบงเบเบเบปเบเบงเปเบฒเปเบเบฑเบ OSX/OceanLotus.D.
เบเปเบฒเบเบเบฒเบเบเบตเบเบฑเบ เปเบฅเบฐเบเบฒเบเบเปเบญเบเบเบฑเบ sandbox
เปเบเบฑเปเบเบเบฝเบงเบเบฑเบเบเบฑเบ macOS OceanLotus binaries เบเบฑเบเบซเบกเบปเบ, เบเบปเบงเบขเปเบฒเบเปเบเปเบเบทเบเบซเบธเปเบกเบซเปเปเบเปเบงเบ UPX, เปเบเปเปเบเบทเปเบญเบเบกเบทเบเบฒเบเบเปเบฒเบเบปเบเบเบปเบงเบซเบธเปเบกเบซเปเปเบชเปเบงเบเปเบซเบเปเบเปเปเปเบเปเบฎเบฑเบเบฎเบนเปเบกเบฑเบ. เบเบตเปเปเบกเปเบเบญเบฒเบเบเบฐเปเบเบฑเบเบเปเบญเบเบงเปเบฒเบเบงเบเปเบเบปเบฒเบชเปเบงเบเปเบซเบเปเบกเบตเบฅเบฒเบเปเบเบฑเบเบเบถเปเบเบเบฑเบเบเบฒเบเบกเบต "UPX" string, เบเบญเบเบเบฒเบเบเบฑเปเบ, เบฅเบฒเบเปเบเบฑเบ Mach-O เปเบกเปเบเบซเบเปเบญเบเบเบงเปเบฒเปเบฅเบฐเบเปเปเปเบเปเบเบทเบเบเบฑเบเบเบธเบเปเบฅเบทเปเบญเบเป. เบเบธเบเบชเบปเบกเบเบฑเบเบเบตเปเปเบฎเบฑเบเปเบซเปเบเบฒเบเบเบงเบเบซเบฒเบชเบฐเบเบดเบเบเบฒเบ. เบซเบเปเบฒเบชเบปเบเปเบ, เบซเบผเบฑเบเบเบฒเบ unpacking, เบเบธเบเปเบเบปเปเบฒเปเบกเปเบเบขเบนเปเปเบเบเบญเบเบเบปเปเบเบเบญเบเบเบฒเบ __cfstring
เบขเบนเปเปเบเบเบฒเบเบชเปเบงเบ .TEXT
. เบเบฒเบเบชเปเบงเบเบเบตเปเบกเบตเบเบธเบเบชเบปเบกเบเบฑเบเบเบธเบเบเบฑเปเบเบเบตเปเบชเบฐเปเบเบเบขเบนเปเปเบเบฎเบนเบเบเปเบฒเบเบฅเบธเปเบกเบเบตเป.
เบฎเบนเบ 1. เบเบธเบเบฅเบฑเบเบชเบฐเบเบฐเบเบญเบเบเบฒเบ MACH-O __cfstring
เบเบฑเปเบเบเบตเปเบชเบฐเปเบเบเบขเบนเปเปเบเบฎเบนเบเบเบต 2, เบชเบฐเบเบฒเบเบเบตเปเบฅเบฐเบซเบฑเบเบขเบนเปเปเบเบเบฒเบ __cfstring
เบญเบฐเบเบธเบเบฒเบเปเบซเปเบเปเบฒเบเปเบเบทเปเบญเบซเบฅเบญเบเบฅเบงเบเบเบฒเบเปเบเบทเปเบญเบเบกเบท disassembly เปเบเบเบเบฒเบเบชเบฐเปเบเบเบฅเบฐเบซเบฑเบเปเบเบฑเบเบชเบฒเบ.
เบฎเบนเบ 2. เบฅเบฐเบซเบฑเบ Backdoor เบเบงเบเบเบปเบเปเบเบ IDA เปเบเบฑเบเบเปเปเบกเบนเบ
เปเบกเบทเปเบญเบเบทเบเบเบฐเบเบดเบเบฑเบเปเบฅเปเบง, เปเบเบเบฒเบฃเบตเบเบฐเบชเปเบฒเบเบเบฐเบเบนเปเปเบเบฑเบเบเบปเบงเบเปเบฒเบเบเบฒเบเบเบตเบเบฑเบเบเบตเปเบกเบตเบเบธเบเบเบฐเบชเบปเบเบญเบฑเบเบเบฝเบงเปเบเบทเปเบญเบชเบทเบเบเปเปเบเบงเบเบชเบญเบเบเบฒเบเบกเบตเบเบปเบงเบเบตเบเบฑเบ. เบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบซเบผเปเบเบปเปเบฒเบเบตเป:
โ เบเบฐโเบเบฒโเบเบฒเบก unhook debugger เปเบ, เปเบโเบซเบฒ ptrace
ั PT_DENY_ATTACH
เปเบเบฑเบเบเบปเบงเบเปเบฒเบเบปเบเบเบฒเบเบฎเปเบญเบเบเป
- เบเบงเบเปเบเบดเปเบเบงเปเบฒเบเบฒเบเบเบญเบเบชเบฐเปเบเบฒเบฐเปเบเบตเบเปเบเบเบเบฒเบเปเบเบซเบฒเบเบฑเบเบเบฑเบ task_get_exception_ports
- เบเบงเบเปเบเบดเปเบเบงเปเบฒเบกเบตเบเบฒเบเปเบเบทเปเบญเบกเบเปเป debugger, เบเบฑเปเบเบเบตเปเบชเบฐเปเบเบเบขเบนเปเปเบเบฎเบนเบเบเปเบฒเบเบฅเบธเปเบกเบเบตเป, เปเบเบเบเบฒเบเบเบงเบเบชเบญเบเบเบฒเบเบเบฐเบเบปเบเบเบปเบงเบเบญเบเบเบธเบเบเบฒเบ P_TRACED
เปเบเบเบฐเบเบงเบเบเบฒเบเบเบฐเบเบธเบเบฑเบ
เบฎเบนเบ 3. เบเบฒเบเบเบงเบเบชเบญเบเบเบฒเบเปเบเบทเปเบญเบกเบเปเป debugger เปเบเบเปเบเปเบเบฑเบเบเบฑเบ sysctl
เบเปเบฒ watchdog เบเบงเบเบเบปเบเบเบฒเบเบเบฐเบเบปเบเบเบปเบงเบเบญเบ debugger, เบเบฑเบเบเบฑเบเบเบฐเบเบทเบเปเบญเบตเปเบเบงเปเบฒ exit
. เบเบญเบเบเบฒเบเบเบฑเปเบ, เบเบปเบงเบขเปเบฒเบเบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเบงเบเปเบเบดเปเบเบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบกเปเบเบเบเบฒเบเปเบฅเปเบเบชเบญเบเบเปเบฒเบชเบฑเปเบ:
ioreg -l | grep -e "Manufacturer" ะธ sysctl hw.model
เบเบปเบงเบขเปเบฒเบเบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเบงเบเปเบเบดเปเบเบเปเบฒเบเบฑเบเบเบทเบเบเปเปเบเบฑเบเบเบฑเบเบเบตเบฅเบฒเบเบเบทเปเบเบญเบเบชเบฐเบเบฃเบดเบเบเบตเปเบกเบตเบฅเบฐเบซเบฑเบเปเบเบเบเบฒเบเบฅเบฐเบเบปเบ virtualization เบเบตเปเบฎเบนเปเบเบฑเบ: acle, vmware, virtualbox เบซเบผเบท เบเบฐเบซเบเบฒเบ. เบชเบธเบเบเปเบฒเบ, เบเปเบฒเบชเบฑเปเบเบเปเปเปเบเบเบฐเบเบงเบเปเบเบดเปเบเบงเปเบฒเปเบเบทเปเบญเบเปเบเบฑเบเบซเบเบถเปเบเปเบ "MBP", "MBA", "MB", "MM", "IM", "MP" เปเบฅเบฐ "XS". เปเบซเบผเบปเปเบฒเบเบตเปเปเบกเปเบเบฅเบฐเบซเบฑเบเบเบปเบงเปเบเบเบเบญเบเบฅเบฐเบเบปเบ, เบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบปเบเบเบปเบงเบขเปเบฒเบ, "MBP" เบซเบกเบฒเบเบเบงเบฒเบกเบงเปเบฒ MacBook Pro, "MBA" เบซเบกเบฒเบเบเบงเบฒเบกเบงเปเบฒ MacBook Air, เปเบฅเบฐเบญเบทเปเบเป.
system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}
เบเบฒเบเปเบเบตเปเบกเปเบเบตเบกเบเบปเปเบเบเป
เปเบเบเบฐเบเบฐเบเบตเปเบเปเบฒเบชเบฑเปเบ backdoor เบเปเปเปเบเปเบเปเบฝเบเปเบเบเบเบฑเบเบเบฑเปเบเปเบเปเบเบฒเบเบเบปเปเบเบเบงเปเบฒเบเบญเบ Trend Micro, เบเบงเบเปเบฎเบปเบฒเบชเบฑเบเปเบเบเปเบซเบฑเบเบเบฒเบเบเบฑเบเปเบเปเบญเบทเปเบเปเบเปเบฒเบเบงเบเบซเบเบถเปเบ. เปเบเบตเบเปเบงเบต C&C เบเบตเปเปเบเปเปเบเบเบปเบงเบขเปเบฒเบเบเบตเปเปเบกเปเบเปเปเปเบเปเบชเบปเบกเบเบงเบ เปเบฅเบฐเบเบทเบเบชเปเบฒเบเบเบทเปเบเปเบเบงเบฑเบเบเบต 22.10.2018/XNUMX/XNUMX.
- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com
URL เบเบฑเบเบเบฐเบเบฒเบเบญเบเปเบเปเบเปเบฝเบเปเบเบฑเบ /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35
.
เปเบเบฑเบเปเบเบฑเบเบเปเบฒเบญเบดเบเบเบตเปเบเบทเบเบชเบปเปเบเปเบเบซเบฒเปเบเบตเบเปเบงเบต C&C เบกเบตเบเปเปเบกเบนเบเปเบเบตเปเบกเปเบเบตเบกเบเปเบฝเบงเบเบฑเบเปเบเบทเปเบญเบเปเบฎเบ, เบฅเบงเบกเบเบฑเบเบเปเปเบกเบนเบเบเบฑเบเบซเบกเบปเบเบเบตเปเปเบเบฑเบเบเปเบฒเปเบเบเบเปเบฒเบชเบฑเปเบเปเบเบเบฒเบเบฐเบฅเบฒเบเบเปเบฒเบเบฅเบธเปเบกเบเบตเป.
เบเบญเบเปเบซเบเบทเบญเบเบฒเบเบเบฒเบเบเปเบฝเบเปเบเบเบเบฒเบเบเบฑเปเบเบเปเบฒเบเบตเป, เบเบปเบงเบขเปเบฒเบเบเปเปเปเบเปเปเบเปเบซเปเบญเบเบชเบฐเบซเบกเบธเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบฑเปเบเบเบญเบเปเบเบทเบญเบเปเบฒเบ gFjMXBgyXWULmVVVzyxy
, padded เบเบฑเบเบชเบนเบ. เปเบเปเบฅเบฐเปเบเบฅเปเบเบทเบเบเบญเบเบฅเบฐเบซเบฑเบ เปเบฅเบฐเบเบฑเบเบเบถเบเปเบเบฑเบ /tmp/store
, เปเบฅเบฐโเบเบงเบฒเบกโเบเบฐโเบเบฒโเบเบฒเบกโเบเบตเปโเบเบฐโเปเบซเบผเบโเบกเบฑเบโเปเบเบฑเบโเบซเปเบญเบโเบชเบฐโเบซเบกเบธเบโเปเบกเปเบโเปเบฎเบฑเบโเปเบเปโเปเบเบโเบเบฒเบโเบเปเบฒโเปเบเปโเบซเบเปเบฒโเบเบตเปโ dlopen
, backdoor เบชเบฒเบเบชเบฐเบเบฑเบเบเบฒเบเบซเบเปเบฒเบเบตเปเบชเบปเปเบเบญเบญเบ Boriry
ะธ ChadylonV
, เปเบเบดเปเบเปเบเบดเปเบเบเบทเบงเปเบฒเบกเบตเบเบงเบฒเบกเบฎเบฑเบเบเบดเบเบเบญเบเบเปเปเบเบฒเบเบชเบทเปเบชเบฒเบเปเบเบทเบญเบเปเบฒเบเบเบฑเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ. เบเบงเบเปเบฎเบปเบฒเบเปเปเบกเบต dropper เบซเบผเบทเปเบเบฅเปเบญเบทเปเบเปเบเบฒเบเบชเบฐเบเบฒเบเบเบตเปเบเบปเปเบเบชเบฐเบเบฑเบเบเบญเบเบเบปเบงเบขเปเบฒเบ, เบเบฑเปเบเบเบฑเปเบเบเบงเบเปเบฎเบปเบฒเบเปเปเบชเบฒเบกเบฒเบเบงเบดเปเบเบฒเบฐเบซเปเบญเบเบชเบฐเบซเบกเบธเบเบเบตเปเปเบเป. เบเบดเปเบเปเบเบเบงเปเบฒเบเบฑเปเบ, เปเบเบทเปเบญเบเบเบฒเบเบญเบปเบเบเบฐเบเบญเบเบเบทเบเปเบเบปเปเบฒเบฅเบฐเบซเบฑเบ, เบเบปเบเบฅเบฐเบเบฝเบ YARA เปเบเบเบญเบตเบเปเบชเปเบชเบฐเบเบฃเบดเบเปเบซเบผเบปเปเบฒเบเบตเปเบเบฐเบเปเปเบเบปเบเบเบฑเบเปเบเบฅเปเบเบตเปเบเบปเบเปเบซเบฑเบเบขเบนเปเปเบเปเบเปเบ.
เบเบฑเปเบเบเบตเปเปเบเปเบญเบฐเบเบดเบเบฒเบเปเบงเปเปเบเบเบปเบเบเบงเบฒเบกเบเปเบฒเบเปเบเบดเบ, เบกเบฑเบเบชเปเบฒเบ clientID. ID เบเบตเปเปเบกเปเบ MD5 hash เบเบญเบเบเปเบฒเบเบฑเบเบเบทเบเบเบญเบเบซเบเบถเปเบเปเบเบเปเบฒเบชเบฑเปเบเบเปเปเปเบเบเบตเป:
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}'
(เปเบเปโเบฎเบฑเบโเบเบตเปโเบขเบนเป MACโ)
- เบเบตเบกโเบเบฒเบโเบเบตเปโเบเปเปโเบฎเบนเปโเบเบฑเบ ("x1ex72x0a
"), เปเบเบดเปเบเบเบทเบเบเปเบฒเปเบเปเปเบเบเบปเบงเบขเปเบฒเบเบเบตเปเบเปเบฒเบเบกเบฒ
เบเปเบญเบเบเบตเปเบเบฐ hashing, "0" เบซเบผเบท "1" เบเบฐเบเบทเบเปเบเบตเปเบกเปเบชเปเบเปเบฒเบเบฑเบเบเบทเบเปเบเบทเปเบญเบเบตเปเปเบซเปเปเบซเบฑเบเบชเบดเบเบเบดเบเบญเบเบฎเบฒเบ. เบเบตเป clientID เปเบเบฑเบเปเบงเปเปเบ /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex
, เบเปเบฒเบฅเบฐเบซเบฑเบเบเบทเบเบเปเบฒเปเบเบตเบเบเบฒเบเปเบเบฑเบเบฎเบฒเบเบซเบผเบทเบขเบนเปเปเบ ~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML เปเบเบเบธเบเบเปเบฅเบฐเบเบตเบญเบทเปเบเป. เบเบปเบเบเบฐเบเบดเปเบฅเปเบงเปเบเบฅเปเบเบทเบเปเบเบทเปเบญเบเปเบงเปเปเบเบเปเบเปเบเบฑเบเบเบฑเบ touch โt
เบเปเบงเบเบเปเบฒเบชเบธเปเบก.
เบเบฒเบเบเบญเบเบฅเบฐเบซเบฑเบเบชเบฐเบเบฃเบดเบ
เปเบเบฑเปเบเบเบฝเบงเบเบฑเบเบเบฑเบเบเบฒเบเปเบฅเบทเบญเบเบเบตเปเบเปเบฒเบเบกเบฒ, เบชเบฐเบเบฃเบดเบเบเบทเบเปเบเบปเปเบฒเบฅเบฐเบซเบฑเบเปเบเบเปเบเป AES-256-CBC (เบฅเบฐเบซเบฑเบเปเบฅเบเบเบฒเบเบชเบดเบเบซเบปเบ: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92
padded เบเบฑเบเบชเบนเบ, เปเบฅเบฐ IV เปเบเบฑเบกเปเบเบเปเบงเบเบชเบนเบ) เปเบเบเบเปเบฒเบเบเบฒเบเบเปเบฒเบเบฒเบ
เบฎเบนเปเบเบฑเบเบเบปเปเบเปเบเบเบเบฒเบเบเปเบฒเบเบฒเบ เบเบญเบเบฅเบฐเบซเบฑเบ, script เบเบญเบเบซเบฒเบเบฒเบเบญเปเบฒเบเบญเบดเบเบเปเบฒเบกเบเบฑเบเบซเบกเบปเบเบเบฑเบเบเบฑเบเบเบฑเบเบเบตเป, เบเบฒเบเปเบเปเบเบฝเบเบเบฑเบเบซเบกเบปเบ, เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเบญเบเบฅเบฐเบซเบฑเบเบเปเปเบกเบนเบเปเบฅเบฐเบงเบฒเบเบเปเปเบเบงเบฒเบกเบเปเบฒเบกเบฐเบเบฒเบเบฒเบเปเบเบเปเบฒเปเบซเบฑเบเบขเบนเปเบเบตเปเบเบตเปเบขเบนเปเบญเปเบฒเบเบญเบตเบเบเปเบฒเบก. เปเบเบทเปเบญเปเบซเปเบชเบฐเบเบฃเบดเบเปเบฎเบฑเบเบงเบฝเบเบขเปเบฒเบเบเบทเบเบเปเบญเบ, เบกเบฑเบเบเปเบญเบเบเบทเบเบเบฑเปเบเปเบเบฑเบเบเบปเบงเบญเบฑเบเบชเบญเบเบเบตเปเบเปเบฒเบซเบเบปเบเปเบญเบเบเบตเปเปเบเปเปเบเบเบเบฑเบเบเบฑเบเบเบฒเบเบเบญเบเบฅเบฐเบซเบฑเบ base64, เปเบฅเบฐเบเบปเบงเปเบเบเบปเปเบงเปเบฅเบเบเปเบญเบเบเบทเบเบเปเบฒเบเบปเบเบเบตเปเบกเบตเบเบงเบฒเบกเบเบฒเบงเบเบญเบเบเบต (เปเบเบเปเบฅเบฐเบเบตเบเบตเป DWORD, เปเบเบดเปเบเบฎเบนเบ 4).
เบฎเบนเบเบเบต 4. เบเบดเบเบฒเบกเบเบญเบเบเบปเบงเปเบเบเบปเปเบงเปเบฅเบ key_len
เปเบเบซเบเปเบฒเบเปเบฒเบ Function, เบเปเบฒเบเบชเบฒเบกเบฒเบเบเบฅเบดเบเบเบงเบฒเปเบชเปเบซเบเปเบฒเบเบตเปเบเบญเบเบฅเบฐเบซเบฑเบเปเบฅเบฐเบเบฅเบดเบ "Extract and decrypt arguments." เบชเบฐเบเบฃเบดเบเบเบงเบเบงเบฒเบเบชเบฒเบเบเบตเปเบเบญเบเบฅเบฐเบซเบฑเบเปเบงเปเปเบเบเปเบฒเปเบซเบฑเบ, เบเบฑเปเบเบเบตเปเบชเบฐเปเบเบเปเบเบฎเบนเบ 5.
เบฎเบนเบ 5. เบเปเปเบเบงเบฒเบกเบเบตเปเบเบญเบเบฅเบฐเบซเบฑเบเบเบทเบเบงเบฒเบเปเบงเปเปเบเบเปเบฒเปเบซเบฑเบ
เบเปเบงเบเบงเบดเบเบตเบเบตเป, เบชเบฐเบเบฃเบดเบเบเบตเปเบเบญเบเบฅเบฐเบซเบฑเบเบเบทเบเบเบฑเบเปเบชเปเปเบเบปเปเบฒเบเบฑเบเบขเปเบฒเบเบชเบฐเบเบงเบเบขเบนเปเปเบเบเปเบญเบเบขเปเบฝเบก IDA xrefs เบชเปเบฒเบฅเบฑเบเบเบฑเบเบเบฑเบเบเบตเปเบเบฒเบกเบเบตเปเบชเบฐเปเบเบเบขเบนเปเปเบเบฎเบนเบ 6.
เบฎเบนเบ 6. Xrefs เบเบฑเบ f_decrypt function
script เบชเบธเบเบเปเบฒเบเบชเบฒเบกเบฒเบเบเบปเบเปเบเปเบเบตเป
เบชเบฐเบซเบฅเบธเบ
เบเบฑเปเบเบเบตเปเปเบเปเบเปเบฒเบงเบกเบฒเปเบฅเปเบง, OceanLotus เบเปเบฒเบฅเบฑเบเบเบฑเบเบเบธเบเปเบฅเบฐเบเบฑเบเบเบธเบเบเบธเบเปเบเบทเปเบญเบเบกเบทเบเบญเบเบเบปเบเบขเปเบฒเบเบเปเปเปเบเบทเปเบญเบ. เปเบงเบฅเบฒเบเบตเป, เบเบธเปเบก cyber เปเบเปเบเบฑเบเบเบธเบ malware เปเบเบทเปเบญเปเบฎเบฑเบเบงเบฝเบเบเบฑเบเบเบนเปเปเบเป Mac. เบฅเบฐเบซเบฑเบเบเปเปเปเบเปเบเปเบฝเบเปเบเบเบซเบผเบฒเบ, เปเบเปเปเบเบทเปเบญเบเบเบฒเบเบเบนเปเปเบเป Mac เบซเบผเบฒเบเบเบปเบเบเปเปเบชเบปเบเปเบเบเบฐเบฅเบดเบเบเบฐเบเบฑเบเบเบงเบฒเบกเบเบญเบเปเบ, เบเบฒเบเบเบปเบเบเปเบญเบ malware เบเบฒเบเบเบฒเบเบเบงเบเบชเบญเบเปเบกเปเบเบกเบตเบเบงเบฒเบกเบชเปเบฒเบเบฑเบเบญเบฑเบเบเบฑเบเบชเบญเบ.
เบเบฐเบฅเบดเบเบเบฐเบเบฑเบ ESET เปเบเปเบเบงเบเบเบปเบเปเบเบฅเปเบเบตเปเปเบฅเปเบงเปเบเปเบงเบฅเบฒเบเบปเปเบเบเปเบงเบฒ. เปเบเบทเปเบญเบเบเบฒเบเบงเปเบฒเบซเปเบญเบเบชเบฐเบซเบกเบธเบเปเบเบทเบญเบเปเบฒเบเบเบตเปเปเบเปเบชเปเบฒเบฅเบฑเบเบเบฒเบเบชเบทเปเบชเบฒเบ C&C เบเบญเบเบเบตเปเบเบทเบเปเบเบปเปเบฒเบฅเบฐเบซเบฑเบเบขเบนเปเปเบเปเบเปเบ, เปเบเปเบเบเบญเบเปเบเบทเบญเบเปเบฒเบเบเบตเปเปเบเปเบเบญเบเบเบตเปเปเบเปเปเบเบเบเบนเปเปเบเบกเบเบตเปเบกเปเบเบเบฑเบเบเปเปเบเบฑเบเบฎเบนเปเปเบเบทเปเบญ.
เบเบปเบงเบเบตเปเบงเบฑเบเบเบญเบเบเบฒเบเบเบฐเบเบตเบเบฐเบเบญเบก
เบเบปเบงเบเบตเปเบงเบฑเบเบเบญเบเบเบฒเบเบเบฐเบเบตเบเบฐเบเบญเบกเปเบเบฑเปเบเบเบฝเบงเบเบฑเบเบเบฑเบเบเบธเบเบฅเบฑเบเบชเบฐเบเบฐ MITER ATT&CK เปเบกเปเบเบกเบตเบขเบนเปเปเบ
เปเบซเบผเปเบเบเปเปเบกเบนเบ: www.habr.com