Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό SesameOp Backdoor

SesameOp Backdoor

Μέχρι το Mezo το Κακόβουλο λογισμικό, Backdoors
Μετάφραση σε:

Ερευνητές ανακάλυψαν ένα νέο backdoor, που παρακολουθείται ως SesameOp, το οποίο αξιοποιεί το API των Βοηθών OpenAI ως ένα μη συμβατικό κανάλι Command-and-Control (C2). Αντί να χρησιμοποιεί τυπική υποδομή δικτύου ή ειδικά κατασκευασμένους διακομιστές C2, το κακόβουλο λογισμικό καταχράται το API των Βοηθών ως ένα κρυφό μηχανισμό αναμετάδοσης και αποθήκευσης για την ανάκτηση κρυπτογραφημένων οδηγιών και την επιστροφή αποτελεσμάτων εκτέλεσης, επιτρέποντας στους χειριστές να συνδυάζουν κακόβουλη κίνηση με νόμιμα αιτήματα API.

Πώς βρέθηκε

Το εμφύτευμα εντοπίστηκε τον Ιούλιο του 2025 κατά τη διάρκεια έρευνας για μια εξελιγμένη εισβολή όπου άγνωστοι εισβολείς είχαν διατηρήσει έρεισμα για αρκετούς μήνες. Οι ερευνητές δεν δημοσίευσαν την ταυτότητα του επηρεαζόμενου οργανισμού. Η ανάλυση παρακολούθησης αποκάλυψε μια πολυεπίπεδη εισβολή με μηχανισμούς επιμονής και στοιχεία περιβάλλοντος που συλλογικά υποστήριζαν μακροπρόθεσμη πρόσβαση — συμπεριφορά συμβατή με τους στόχους κατασκοπείας.

Τεχνική Αρχιτεκτονική

Η αλυσίδα μόλυνσης του SesameOp περιλαμβάνει ένα DLL loader με το όνομα Netapi64.dll και ένα στοιχείο .NET backdoor με την ονομασία OpenAIAgent.Netapi64. Βασικά τεχνικά χαρακτηριστικά:

  • Το DLL είναι σε μεγάλο βαθμό ασαφές με το Eazfuscator.NET και έχει σχεδιαστεί για μυστικότητα και επιμονή.
  • Κατά τον χρόνο εκτέλεσης, ο φορτωτής εισάγεται στη διεργασία κεντρικού υπολογιστή μέσω χειρισμού .NET AppDomainManager, που ενεργοποιείται από ένα δημιουργημένο αρχείο .config που έχει αντιστοιχιστεί με το νόμιμο εκτελέσιμο αρχείο κεντρικού υπολογιστή.

Οι επιτιθέμενοι παραβίασαν επίσης τα βοηθητικά προγράμματα του Microsoft Visual Studio εισάγοντας κακόβουλες βιβλιοθήκες, χρησιμοποιώντας μια τεχνική έγχυσης AppDomainManager για να διασφαλίσουν την επιμονή και την εκτέλεση κώδικα από φαινομενικά νόμιμες αλυσίδες εργαλείων.

Εσωτερικά Εργαλεία

Οι ερευνητές περιέγραψαν μια «σύνθετη διάταξη» εσωτερικών κελυφών ιστού που συνδέονται με επίμονες, στρατηγικά τοποθετημένες κακόβουλες διεργασίες. Αυτές οι διεργασίες λειτουργούν ως τοπικοί ενορχηστρωτές, εκτελούν εντολές που μεταδίδονται μέσω του API Assistants και αναθέτουν εργασίες σε άλλα εμφυτευμένα στοιχεία. Ο συνδυασμένος σχεδιασμός διατήρησε τη δραστηριότητα του εχθρού συνυφασμένη με τα κανονικά εργαλεία προγραμματισμού και διαχείρισης, καθιστώντας την ανίχνευση πιο δύσκολη.

Πώς γίνεται κατάχρηση του API Βοηθών του OpenAI

Το backdoor χρησιμοποιεί το API των Βοηθών ως χώρο αποθήκευσης/αναμετάδοσης μηνυμάτων. Οι εντολές ανακτώνται από τη λίστα Βοηθών και ερμηνεύονται μέσω του πεδίου περιγραφής. Η υλοποίηση αναγνωρίζει τρεις τύπους εντολών:

SLEEP — δίνει εντολή στο εμφύτευμα να διακόψει προσωρινά ένα νήμα για ένα καθορισμένο χρονικό διάστημα.

Ωφέλιμο φορτίο — κατευθύνει τον παράγοντα να εξαγάγει κώδικα ή οδηγίες από το πεδίο οδηγιών και να τις εκτελέσει σε ξεχωριστό νήμα.

Αποτέλεσμα — σηματοδοτεί ότι το αποτέλεσμα εκτέλεσης θα πρέπει να αναρτηθεί πίσω στο API Βοηθών με την περιγραφή να έχει οριστεί σε «Αποτέλεσμα», ώστε ο χειριστής να μπορεί να ανακτήσει το αποτέλεσμα.

Λειτουργική Ροή

Όταν είναι ενεργό, το backdoor υποβάλλει ερώτημα στο API των Βοηθών για την ανάκτηση κρυπτογραφημένων εντολών. Αποκωδικοποιεί και εκτελεί ωφέλιμα φορτία τοπικά και στη συνέχεια δημοσιεύει τα αποτελέσματα εκτέλεσης πίσω στο API ως μηνύματα. Αυτό το μοντέλο αναμετάδοσης μετατρέπει ένα νόμιμο API τεχνητής νοημοσύνης cloud σε έναν ενδιάμεσο για την έκδοση εργασιών και τη λήψη εξόδων, καμουφλάροντας αποτελεσματικά την κίνηση του εισβολέα εντός των αναμενόμενων μοτίβων χρήσης του API.

Απόδοση, Πρόθεση και Στρατηγικοί Στόχοι

Προς το παρόν, δεν υπάρχει δημόσια αναφορά στην εκστρατεία. Η έμφαση του εμφυτεύματος στην επιμονή, τον μυστικό έλεγχο και τον μεγάλο χρόνο παραμονής υποδηλώνει έντονα ότι οι επιτιθέμενοι στόχευαν σε διαρκή πρόσβαση — σύμφωνα με τη συλλογή πληροφοριών ή την παρατεταμένη κατασκοπευτική δραστηριότητα. Η υπόθεση καταδεικνύει επίσης μια ευρύτερη τάση: κατάχρηση ευρέως χρησιμοποιούμενων, νόμιμων υπηρεσιών cloud για την αποφυγή ανίχνευσης και την περιπλοκή της αντιμετώπισης περιστατικών.

Αξίζει να σημειωθεί ότι το API των Βοηθών έχει προγραμματιστεί για κατάργηση τον Αύγουστο του 2026 και θα αντικατασταθεί από το API Αποκρίσεων, κάτι που ενδέχεται να επηρεάσει τον τρόπο λειτουργίας παρόμοιων φορέων κατάχρησης στο μέλλον.

Φαγητό σε πακέτο

Το SesameOp είναι αξιοσημείωτο επειδή επαναχρησιμοποιεί ένα mainstream endpoint ενσωμάτωσης AI σε ένα μυστικό κανάλι C2, συνδυάζοντας την έγχυση .NET AppDomainManager, τα κρυμμένα DLL, τα παραβιασμένα εργαλεία ανάπτυξης και τα εσωτερικά κελύφη ιστού για να επιτύχει ανθεκτικό, δύσκολο στην ανίχνευση έλεγχο. Η καμπάνια υπογραμμίζει την ανάγκη οι υπερασπιστές να παρακολουθούν την ασυνήθιστη συμπεριφορά των εργαλείων προγραμματιστών, την ανώμαλη χρήση των API cloud από εσωτερικούς κεντρικούς υπολογιστές και σημάδια έγχυσης DLL ή χειραγώγησης χρόνου εκτέλεσης σε περιβάλλοντα .NET.

Τάσεις

Απάτη παραβίασης ασφαλείας του Trust Wallet

Απατεώνες Ιστότοποι
Καθώς οι διαδικτυακές απάτες συνεχίζουν να εξελίσσονται, οι χρήστες πρέπει να παραμένουν σε εγρήγορση κατά την πλοήγηση στο Διαδίκτυο, ιδιαίτερα όταν ασχολούνται με ψηφιακά περιουσιακά στοιχεία. Οι...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
32,906
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...