SesameOp ব্যাকডোর

গবেষকরা SesameOp নামে ট্র্যাক করা একটি অভিনব ব্যাকডোর আবিষ্কার করেছেন, যা OpenAI Assistants API-কে একটি অপ্রচলিত কমান্ড-এন্ড-কন্ট্রোল (C2) চ্যানেল হিসেবে ব্যবহার করে। সাধারণ নেটওয়ার্ক অবকাঠামো বা বেসপোক C2 সার্ভার ব্যবহার করার পরিবর্তে, ম্যালওয়্যারটি Assistants API-কে একটি গোপন রিলে এবং স্টোরেজ প্রক্রিয়া হিসেবে ব্যবহার করে এনক্রিপ্ট করা নির্দেশাবলী পুনরুদ্ধার করে এবং কার্যকরী ফলাফল ফেরত দেয়, যা অপারেটরদের বৈধ API অনুরোধের সাথে দূষিত ট্র্যাফিক মিশ্রিত করতে দেয়।

এটি কীভাবে পাওয়া গেল

২০২৫ সালের জুলাই মাসে একটি জটিল অনুপ্রবেশের তদন্তের সময় ইমপ্লান্টটি শনাক্ত করা হয়েছিল যেখানে অজানা আক্রমণকারীরা বেশ কয়েক মাস ধরে অবস্থান করে রেখেছিল। গবেষকরা প্রভাবিত সংস্থার পরিচয় প্রকাশ করেননি। ফলো-আপ বিশ্লেষণে দীর্ঘমেয়াদী অ্যাক্সেসকে সম্মিলিতভাবে সমর্থনকারী স্থায়িত্ব প্রক্রিয়া এবং পরিবেশগত উপাদানগুলির সাথে বহু-স্তরীয় অনুপ্রবেশের বিষয়টি প্রকাশ পেয়েছে — গুপ্তচরবৃত্তির উদ্দেশ্যের সাথে সামঞ্জস্যপূর্ণ আচরণ।

কারিগরি স্থাপত্য

SesameOp এর ইনফেকশন চেইনে Netapi64.dll নামে একটি লোডার DLL এবং OpenAIAgent.Netapi64 লেবেলযুক্ত একটি .NET ব্যাকডোর কম্পোনেন্ট রয়েছে। মূল প্রযুক্তিগত বৈশিষ্ট্য:

• DLL Eazfuscator.NET দ্বারা ব্যাপকভাবে অস্পষ্ট এবং গোপনীয়তা এবং অধ্যবসায়ের জন্য ডিজাইন করা হয়েছে।
• রানটাইমের সময়, লোডারটি .NET AppDomainManager ম্যানিপুলেশনের মাধ্যমে হোস্ট প্রক্রিয়ায় ইনজেক্ট করা হয়, যা বৈধ হোস্ট এক্সিকিউটেবলের সাথে যুক্ত একটি তৈরি .config ফাইল দ্বারা ট্রিগার করা হয়।

আক্রমণকারীরা মাইক্রোসফট ভিজ্যুয়াল স্টুডিও ইউটিলিটিগুলিকেও আপস করেছে, দূষিত লাইব্রেরি সন্নিবেশ করিয়ে, আপাতদৃষ্টিতে বৈধ টুলচেইন থেকে স্থায়িত্ব এবং কোড কার্যকরকরণ নিশ্চিত করার জন্য একটি অ্যাপডোমেইনম্যানেজার ইনজেকশন কৌশল ব্যবহার করে।

অভ্যন্তরীণ সরঞ্জাম

তদন্তকারীরা অভ্যন্তরীণ ওয়েব শেলগুলির একটি 'জটিল বিন্যাস' বর্ণনা করেছেন যা স্থায়ী, কৌশলগতভাবে স্থাপন করা ক্ষতিকারক প্রক্রিয়াগুলির সাথে সংযুক্ত। এই প্রক্রিয়াগুলি স্থানীয় অর্কেস্ট্রেটর হিসাবে কাজ করে, অ্যাসিস্ট্যান্টস API এর মাধ্যমে রিলে করা কমান্ডগুলি কার্যকর করে এবং অন্যান্য ইমপ্লান্ট করা উপাদানগুলিতে কাজগুলি হস্তান্তর করে। সম্মিলিত নকশাটি প্রতিপক্ষের কার্যকলাপকে স্বাভাবিক বিকাশকারী এবং প্রশাসনিক সরঞ্জামের সাথে সংযুক্ত রাখে, যা সনাক্তকরণকে আরও কঠিন করে তোলে।

ওপেনএআই-এর সহকারী API কীভাবে অপব্যবহার করা হয়

ব্যাকডোরটি অ্যাসিস্ট্যান্টস এপিআইকে মেসেজ স্টোর/রিলে হিসেবে ব্যবহার করে। কমান্ডগুলি অ্যাসিস্ট্যান্টস তালিকা থেকে আনা হয় এবং বর্ণনা ক্ষেত্রের মাধ্যমে ব্যাখ্যা করা হয়; বাস্তবায়নটি তিনটি ধরণের নির্দেশকে স্বীকৃতি দেয়:

SLEEP — ইমপ্লান্টকে একটি নির্দিষ্ট ব্যবধানের জন্য একটি থ্রেড থামানোর নির্দেশ দেয়।

পেলোড — এজেন্টকে নির্দেশাবলী ক্ষেত্র থেকে কোড বা নির্দেশাবলী বের করে একটি পৃথক থ্রেডে চালানোর নির্দেশ দেয়।

ফলাফল — সংকেত দেয় যে এক্সিকিউশন আউটপুটটি 'ফলাফল'-এ সেট করা বর্ণনা সহ Assistants API-তে পোস্ট করা উচিত, যাতে অপারেটর ফলাফলটি পুনরুদ্ধার করতে পারে।

অপারেশনাল ফ্লো

সক্রিয় থাকাকালীন, ব্যাকডোরটি এনক্রিপ্ট করা কমান্ডগুলি পুনরুদ্ধার করার জন্য অ্যাসিস্ট্যান্টস API-কে জিজ্ঞাসা করে। এটি স্থানীয়ভাবে পেলোডগুলি ডিকোড করে এবং কার্যকর করে এবং তারপরে কার্যকরকরণের ফলাফলগুলি বার্তা হিসাবে API-তে পোস্ট করে। এই রিলে মডেলটি একটি বৈধ ক্লাউড AI API-কে কার্য জারি এবং আউটপুট গ্রহণের জন্য মধ্যস্থতাকারীতে পরিণত করে, কার্যকরভাবে প্রত্যাশিত API ব্যবহারের ধরণগুলির মধ্যে আক্রমণকারী ট্র্যাফিককে ছদ্মবেশে রাখে।

বৈশিষ্ট্য, অভিপ্রায় এবং কৌশলগত উদ্দেশ্য

বর্তমানে, এই প্রচারণার জন্য কোনও জনসাধারণের স্বীকৃতি নেই। ইমপ্লান্টের অধ্যবসায়, গোপন নিয়ন্ত্রণ এবং দীর্ঘ সময় ধরে থাকার উপর জোর দৃঢ়ভাবে ইঙ্গিত করে যে আক্রমণকারীরা টেকসই অ্যাক্সেসের লক্ষ্যে ছিল - গোয়েন্দা তথ্য সংগ্রহ বা দীর্ঘায়িত গুপ্তচরবৃত্তির কার্যকলাপের সাথে সামঞ্জস্যপূর্ণ। এই মামলাটি আরও একটি বিস্তৃত প্রবণতা প্রদর্শন করে: সনাক্তকরণ এড়াতে এবং ঘটনার প্রতিক্রিয়া জটিল করার জন্য ব্যাপকভাবে ব্যবহৃত, বৈধ ক্লাউড পরিষেবাগুলির অপব্যবহার।

এটি লক্ষণীয় যে Assistants API ২০২৬ সালের আগস্টে বন্ধ করার জন্য নির্ধারিত হয়েছে এবং রেসপন্স API দ্বারা এটিকে প্রতিস্থাপন করা হবে, যা ভবিষ্যতে একই ধরণের অপব্যবহারকারী ভেক্টরগুলি কীভাবে কাজ করবে তা প্রভাবিত করতে পারে।

টেকওয়েস

SesameOp উল্লেখযোগ্য কারণ এটি একটি মূলধারার AI ইন্টিগ্রেশন এন্ডপয়েন্টকে একটি গোপন C2 চ্যানেলে পুনঃপ্রয়োগ করে, .NET AppDomainManager ইনজেকশন, অস্পষ্ট DLL, আপোস করা ডেভেলপমেন্ট টুলিং এবং অভ্যন্তরীণ ওয়েব শেলগুলিকে একত্রিত করে টেকসই, সনাক্ত করা কঠিন নিয়ন্ত্রণ অর্জন করে। প্রচারাভিযানটি ডিফেন্ডারদের অস্বাভাবিক ডেভেলপার-টুল আচরণ, অভ্যন্তরীণ হোস্ট থেকে ক্লাউড API-এর অস্বাভাবিক ব্যবহার এবং .NET পরিবেশে DLL ইনজেকশন বা রানটাইম ম্যানিপুলেশনের লক্ষণগুলি পর্যবেক্ষণ করার প্রয়োজনীয়তা তুলে ধরে।