باب خلفي لبرنامج SesameOp
اكتشف الباحثون برمجية خبيثة جديدة، تُعرف باسم SesameOp، تستغل واجهة برمجة تطبيقات OpenAI Assistants كقناة غير تقليدية للتحكم والقيادة (C2). فبدلاً من استخدام البنية التحتية للشبكة التقليدية أو خوادم C2 مُصممة خصيصًا، يستغل البرنامج الخبيث واجهة برمجة تطبيقات Assistants كآلية خفية للتخزين والترحيل لاسترجاع التعليمات المشفرة وإرجاع نتائج التنفيذ، مما يسمح للمشغلين بدمج حركة المرور الضارة مع طلبات واجهة برمجة التطبيقات المشروعة.
جدول المحتويات
كيف تم العثور عليه
تم تحديد هذه الغرسة في يوليو 2025 أثناء تحقيق في عملية اختراق متطورة، حيث احتفظ مهاجمون مجهولون بموطئ قدم لعدة أشهر. لم ينشر الباحثون هوية المؤسسة المتضررة. كشف تحليل المتابعة عن اختراق متعدد الطبقات بآليات استمرار ومكونات داخلية تدعم مجتمعةً الوصول طويل الأمد - وهو سلوك يتوافق مع أهداف التجسس.
الهندسة المعمارية التقنية
تتضمن سلسلة عدوى SesameOp ملف DLL للمُحمِّل يُسمى Netapi64.dll ومُكوِّنًا خلفيًا لـ .NET يُسمى OpenAIAgent.Netapi64. الخصائص التقنية الرئيسية:
- تم إخفاء ملف DLL بشكل كبير باستخدام Eazfuscator.NET وتم تصميمه للتخفي والاستمرار.
- في وقت التشغيل، يتم حقن المحمل في عملية المضيف عبر معالجة .NET AppDomainManager، والتي يتم تشغيلها بواسطة ملف .config المصمم المقترن بالملف القابل للتنفيذ الشرعي للمضيف.
قام المهاجمون أيضًا باختراق أدوات Microsoft Visual Studio عن طريق إدراج مكتبات ضارة، باستخدام تقنية حقن AppDomainManager لضمان الاستمرارية وتنفيذ التعليمات البرمجية من سلاسل أدوات تبدو شرعية.
الأدوات الداخلية
وصف المحققون "ترتيبًا معقدًا" من واجهات الويب الداخلية المرتبطة بعمليات خبيثة دائمة ومُوزّعة بشكل استراتيجي. تعمل هذه العمليات كمنسقين محليين، حيث تُنفّذ الأوامر المُرسَلة عبر واجهة برمجة تطبيقات المساعدين، وتُسلّم المهام إلى مكونات أخرى مزروعة. وقد أبقى هذا التصميم المُدمج نشاط المُهاجم مُتداخلًا مع أدوات المُطوّرين والإدارة الاعتيادية، مما زاد من صعوبة الكشف.
كيف يتم إساءة استخدام واجهة برمجة تطبيقات المساعدين الخاصة بـ OpenAI
يستخدم الباب الخلفي واجهة برمجة تطبيقات المساعدين كمخزن/مُرحِّل للرسائل. تُستَقبَل الأوامر من قائمة المساعدين وتُفسَّر عبر حقل الوصف؛ ويتعرف التطبيق على ثلاثة أنواع من التعليمات:
SLEEP — يوجه الزرعة لإيقاف الخيط مؤقتًا لفترة زمنية محددة.
الحمولة — توجه العميل لاستخراج الكود أو التعليمات من حقل التعليمات وتشغيلها في سلسلة منفصلة.
النتيجة — تشير إلى أنه يجب نشر مخرجات التنفيذ مرة أخرى إلى واجهة برمجة تطبيقات المساعدين مع تعيين الوصف على "النتيجة"، حتى يتمكن المشغل من استرداد النتيجة.
التدفق التشغيلي
عند تفعيله، يستعلم الباب الخلفي من واجهة برمجة تطبيقات المساعدين لاسترداد الأوامر المشفرة. يفك تشفير الحمولات وينفذها محليًا، ثم يرسل نتائج التنفيذ إلى واجهة برمجة التطبيقات كرسائل. يحوّل نموذج الترحيل هذا واجهة برمجة تطبيقات سحابية معتمدة للذكاء الاصطناعي إلى وسيط لإصدار المهام واستقبال المخرجات، مما يُخفي حركة مرور المهاجمين بفعالية ضمن أنماط استخدام واجهة برمجة التطبيقات المتوقعة.
الإسناد والقصد والأهداف الاستراتيجية
في الوقت الحالي، لا توجد أي جهة رسمية تُنسب هذه الحملة. يشير تركيز عملية الزرع على الاستمرارية والتحكم السري وطول مدة التواجد إلى أن المهاجمين كانوا يهدفون إلى الوصول المستمر - بما يتماشى مع جمع المعلومات الاستخباراتية أو أنشطة التجسس المطولة. كما تُظهر هذه الحالة اتجاهًا أوسع نطاقًا: إساءة استخدام خدمات سحابية مشروعة واسعة الانتشار لتجنب الكشف وتعقيد الاستجابة للحوادث.
من الجدير بالذكر أن واجهة برمجة التطبيقات Assistants من المقرر إيقاف استخدامها في أغسطس 2026 وسيتم استبدالها بواجهة برمجة تطبيقات Responses، وهو ما قد يؤثر على كيفية عمل متجهات الإساءة المماثلة في المستقبل.
الوجبات الجاهزة
يتميز SesameOp بإعادة توظيف نقطة نهاية تكامل الذكاء الاصطناعي السائدة وتحويلها إلى قناة C2 سرية، تجمع بين حقن .NET AppDomainManager، وملفات DLL المُعتمة، وأدوات التطوير المُخترقة، وأغلفة الويب الداخلية، لتحقيق تحكم متين يصعب اكتشافه. تُسلط الحملة الضوء على حاجة المدافعين إلى مراقبة السلوك غير المعتاد لأدوات المطورين، والاستخدام غير الطبيعي لواجهات برمجة التطبيقات السحابية من المُضيفين الداخليين، وعلامات حقن DLL أو التلاعب بوقت التشغيل في بيئات .NET.
