Ponuda s popustom na više licenci
Baza prijetnji Malware Stražnja vrata SesameOp-a

Stražnja vrata SesameOp-a

Do Mezo. Malware, Stražnja vrata. godine
Prevedi na:

Istraživači su otkrili novi backdoor, praćen kao SesameOp, koji koristi OpenAI Assistants API kao nekonvencionalni kanal za upravljanje i kontrolu (C2). Umjesto korištenja tipične mrežne infrastrukture ili prilagođenih C2 poslužitelja, zlonamjerni softver zloupotrebljava Assistants API kao prikriveni mehanizam za relej i pohranu za dohvaćanje šifriranih uputa i vraćanje rezultata izvršenja, omogućujući operaterima da miješaju zlonamjerni promet s legitimnim API zahtjevima.

Kako je pronađeno

Implantat je identificiran u srpnju 2025. tijekom istrage sofisticiranog upada u kojem su nepoznati napadači održavali uporišta nekoliko mjeseci. Istraživači nisu objavili identitet pogođene organizacije. Naknadna analiza otkrila je višeslojni upad s mehanizmima perzistencije i komponentama u okruženju koje su zajedno podržavale dugoročni pristup - ponašanje u skladu s ciljevima špijunaže.

Tehnička arhitektura

SesameOpov lanac infekcije uključuje DLL za učitavanje pod nazivom Netapi64.dll i .NET backdoor komponentu pod nazivom OpenAIAgent.Netapi64. Ključne tehničke karakteristike:

  • DLL je jako maskiran pomoću Eazfuscator.NET-a i dizajniran za prikrivenost i upornost.
  • Tijekom izvođenja, program za učitavanje se ubrizgava u glavni proces putem manipulacije .NET AppDomainManagera, a pokreće ga izrađena .config datoteka uparena s legitimnom izvršnom datotekom glavnog procesa.

Napadači su također kompromitirali uslužne programe Microsoft Visual Studio umetanjem zlonamjernih biblioteka, koristeći tehniku ubrizgavanja AppDomainManagera kako bi osigurali postojanost i izvršavanje koda iz naizgled legitimnih alata.

Unutarnji alati

Istražitelji su opisali 'složen raspored' internih web ljuski povezanih s trajnim, strateški postavljenim zlonamjernim procesima. Ti procesi djeluju kao lokalni orkestratori, izvršavajući naredbe prenesene putem Assistants API-ja i predajući zadatke drugim implantiranim komponentama. Kombinirani dizajn ispreplitao je aktivnost protivnika s uobičajenim alatima za razvojne programere i administraciju, što je otežalo otkrivanje.

Kako se zloupotrebljava OpenAI-jev Assistants API

Stražnji ulaz koristi Assistants API kao pohranu/relej poruka. Naredbe se dohvaćaju s popisa Assistantsa i interpretiraju putem polja opisa; implementacija prepoznaje tri vrste instrukcija:

SLEEP — upućuje implantat da pauzira nit za određeni interval.

Korisni teret — upućuje agenta da izdvoji kod ili instrukcije iz polja instrukcija i pokrene ih u zasebnoj niti.

Rezultat — signalizira da se izlaz izvršenja treba poslati natrag u Assistants API s opisom postavljenim na 'Rezultat', kako bi operater mogao dohvatiti ishod.

Operativni tok

Kada je aktivan, backdoor šalje upite Assistants API-ju kako bi dohvatio šifrirane naredbe. Dekodira i izvršava podatke lokalno, a zatim šalje rezultate izvršenja natrag API-ju kao poruke. Ovaj model releja pretvara legitimni cloud AI API u posrednika za izdavanje zadataka i primanje izlaza, učinkovito kamuflirajući promet napadača unutar očekivanih obrazaca korištenja API-ja.

Atribucija, namjera i strateški ciljevi

Trenutno nema javnog pripisivanja kampanje. Naglasak implantata na upornosti, tajnoj kontroli i dugom vremenu zadržavanja snažno sugerira da su napadači ciljali na trajni pristup - što je u skladu s prikupljanjem obavještajnih podataka ili produljenim špijunskim aktivnostima. Slučaj također pokazuje širi trend: zlouporabu široko korištenih, legitimnih usluga u oblaku kako bi se izbjeglo otkrivanje i zakomplicirao odgovor na incident.

Vrijedi napomenuti da je ukidanje Assistants API-ja planirano za kolovoz 2026. te da će ga zamijeniti Responses API, što bi moglo utjecati na način na koji slični vektori zlouporabe funkcioniraju u budućnosti.

Hrana za van

SesameOp je značajan jer prenamjenjuje krajnju točku za integraciju umjetne inteligencije u tajni C2 kanal, kombinirajući .NET AppDomainManager injekciju, obfusirane DLL-ove, kompromitirane alate za razvoj i interne web ljuske kako bi se postigla trajna, teško uočljiva kontrola. Kampanja naglašava potrebu da branitelji prate neobično ponašanje alata za razvojne programere, anomalnu upotrebu API-ja u oblaku s internih hostova i znakove DLL injekcije ili manipulacije tijekom izvođenja u .NET okruženjima.

U trendu

Nagledanije

Učitavam...