Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Задна вратичка SesameOp

Задна вратичка SesameOp

До Mezo през Зловреден софтуер, Задни вратиг
Превод на:

Изследователи откриха новаторска задна вратичка, проследена като SesameOp, която използва OpenAI Assistants API като неконвенционален канал за командване и контрол (C2). Вместо да използва типична мрежова инфраструктура или специални C2 сървъри, зловредният софтуер злоупотребява с Assistants API като скрит механизъм за реле и съхранение, за да извлича криптирани инструкции и да връща резултати от изпълнението, позволявайки на операторите да смесват злонамерен трафик с легитимни API заявки.

Как е било намерено

Имплантът е идентифициран през юли 2025 г. по време на разследване на сложно проникване, при което неизвестни нападатели са се задържали в продължение на няколко месеца. Изследователите не са публикували самоличността на засегнатата организация. Последващ анализ разкри многопластово проникване с механизми за постоянство и компоненти в средата, които колективно поддържат дългосрочен достъп - поведение, съответстващо на шпионските цели.

Техническа архитектура

Веригата за заразяване на SesameOp включва DLL зареждащ файл с име Netapi64.dll и .NET компонент за задна врата с име OpenAIAgent.Netapi64. Ключови технически характеристики:

  • DLL е силно обфусцирана с Eazfuscator.NET и е проектирана за скритост и постоянство.
  • По време на изпълнение, зареждащата програма се инжектира в хост процеса чрез манипулация на .NET AppDomainManager, задействана от създаден .config файл, сдвоен с легитимния изпълним файл на хоста.

Нападателите също така компрометират помощните програми на Microsoft Visual Studio, като вмъкват злонамерени библиотеки, използвайки техника за инжектиране на AppDomainManager, за да осигурят постоянство и изпълнение на код от привидно легитимни вериги от инструменти.

Вътрешна инструментална екипировка

Разследващите описаха „сложна подредба“ от вътрешни уеб обвивки, свързани с постоянни, стратегически разположени злонамерени процеси. Тези процеси действат като локални оркестратори, изпълнявайки команди, предавани чрез Assistants API, и прехвърляйки задачи на други имплантирани компоненти. Комбинираният дизайн преплита дейността на злонамерения с нормалните инструменти за разработчици и администратори, което прави откриването по-трудно.

Как се злоупотребява с API-то на OpenAI за асистенти

Задната вратичка използва API на Assistants като хранилище/препращащо устройство за съобщения. Командите се извличат от списъка с Assistants и се интерпретират чрез полето за описание; имплементацията разпознава три типа инструкции:

SLEEP — инструктира импланта да паузира нишката за определен интервал.

Полезен товар — указва на агента да извлече код или инструкции от полето с инструкции и да ги изпълни в отделна нишка.

Резултат — сигнализира, че резултатът от изпълнението трябва да бъде изпратен обратно към Assistants API с описание, зададено на „Резултат“, за да може операторът да извлече резултата.

Оперативен поток

Когато е активна, задната вратичка запитва към Assistants API, за да извлече криптирани команди. Тя декодира и изпълнява полезни товари локално и след това изпраща резултатите от изпълнението обратно към API като съобщения. Този модел на реле превръща легитимен облачен AI API в посредник за издаване на задачи и получаване на резултати, като ефективно маскира трафика на атакуващия в рамките на очакваните модели на използване на API.

Атрибуция, намерение и стратегически цели

В момента няма публично посочване на автора на кампанията. Акцентът на импланта върху постоянството, тайния контрол и дългото време на престой силно подсказва, че нападателите са се стремили към продължителен достъп – съвместим със събирането на разузнавателна информация или продължителна шпионска дейност. Случаят демонстрира и по-широка тенденция: злоупотреба с широко използвани, легитимни облачни услуги, за да се избегне откриването и да се усложни реакцията при инциденти.

Струва си да се отбележи, че API на Assistants е планирано да бъде премахнат през август 2026 г. и ще бъде заменен от Responses API, което може да повлияе на начина, по който подобни вектори на злоупотреба ще функционират в бъдеще.

Храна за вкъщи

SesameOp е забележителна, защото пренасочва крайна точка за интеграция с изкуствен интелект в скрит C2 канал, комбинирайки инжектиране на .NET AppDomainManager, обфускирани DLL файлове, компрометирани инструменти за разработка и вътрешни уеб обвивки, за да постигне траен и труден за откриване контрол. Кампанията подчертава необходимостта защитниците да наблюдават необичайно поведение на инструментите за разработчици, аномално използване на облачни API от вътрешни хостове и признаци за инжектиране на DLL или манипулация по време на изпълнение в .NET среди.

Тенденция

Тропическо разширение

Потенциално нежелани програми, Похитители на браузъри
Tropical Extension е част от съмнителен софтуер, който попадна под наблюдението на експерти по киберсигурност по време на тяхното разследване на подозрителни уебсайтове. Първоначално това е полезно...

Unsfeths.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Киберпрестъпниците непрекъснато разработват нови начини за манипулиране на потребителите и използване на функциите на браузъра за злонамерени цели. Една такава измамна тактика включва фалшиви...

Измама с нарушаване на сигурността на Trust Wallet

Измамни уебсайтове
Тъй като онлайн измамите продължават да се развиват, потребителите трябва да бъдат бдителни, когато навигират в интернет, особено когато работят с цифрови активи. Киберпрестъпниците непрекъснато...

Най-гледан

Зареждане...