សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង មេរោគ SesameOp Backdoor

SesameOp Backdoor

ដោយ Mezo ក្នុង មេរោគ, ទ្វារក្រោយ
បកប្រែទៅ៖

អ្នកស្រាវជ្រាវបានរកឃើញ backdoor ប្រលោមលោកមួយដែលត្រូវបានតាមដានជា SesameOp ដែលប្រើប្រាស់ OpenAI Assistants API ជាបណ្តាញ Command-and-Control (C2) ដែលមិនធម្មតា។ ជាជាងប្រើហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញធម្មតា ឬម៉ាស៊ីនមេ C2 ដែលត្រូវប្រើ មេរោគនេះបំពាន API ជំនួយការជាការបញ្ជូនត និងយន្តការផ្ទុកទិន្នន័យសម្ងាត់ ដើម្បីទាញយកការណែនាំដែលបានអ៊ិនគ្រីប និងត្រឡប់លទ្ធផលប្រតិបត្តិ ដែលអនុញ្ញាតឱ្យប្រតិបត្តិករបញ្ចូលចរាចរព្យាបាទជាមួយសំណើ API ស្របច្បាប់។

របៀបដែលវាត្រូវបានគេរកឃើញ

ការផ្សាំនេះត្រូវបានកំណត់អត្តសញ្ញាណក្នុងខែកក្កដា ឆ្នាំ 2025 ក្នុងអំឡុងពេលស៊ើបអង្កេតលើការឈ្លានពានដ៏ស្មុគ្រស្មាញ ដែលអ្នកវាយប្រហារមិនស្គាល់អត្តសញ្ញាណបានរក្សាទីតាំងឈរជើងអស់រយៈពេលជាច្រើនខែ។ អ្នកស្រាវជ្រាវមិនបានផ្សព្វផ្សាយអត្តសញ្ញាណរបស់អង្គការដែលរងផលប៉ះពាល់នោះទេ។ ការវិភាគតាមក្រោយបានបង្ហាញពីការជ្រៀតជ្រែកពហុស្រទាប់ជាមួយនឹងយន្តការជាប់លាប់ និងធាតុផ្សំនៃបរិស្ថាន ដែលគាំទ្រការចូលប្រើប្រាស់រយៈពេលវែង — អាកប្បកិរិយាស្របនឹងគោលបំណងចារកម្ម។

ស្ថាបត្យកម្មបច្ចេកទេស

ខ្សែសង្វាក់ការឆ្លងរបស់ SesameOp រួមមានកម្មវិធីផ្ទុកទិន្នន័យ DLL ដែលមានឈ្មោះថា Netapi64.dll និងសមាសធាតុ .NET backdoor ដែលមានស្លាក OpenAIAgent.Netapi64 ។ លក្ខណៈបច្ចេកទេសសំខាន់ៗ៖

  • DLL មានភាពច្របូកច្របល់យ៉ាងខ្លាំងជាមួយ Eazfuscator.NET និងត្រូវបានរចនាឡើងសម្រាប់ការបំបាំងកាយ និងការតស៊ូ។
  • នៅពេលដំណើរការ កម្មវិធីផ្ទុកត្រូវបានបញ្ចូលទៅក្នុងដំណើរការម៉ាស៊ីនតាមរយៈ .NET AppDomainManager រៀបចំ ដែលបង្កឡើងដោយឯកសារ .config ដែលត្រូវបានបង្កើតឡើងដែលផ្គូផ្គងជាមួយម៉ាស៊ីនស្របច្បាប់ដែលអាចប្រតិបត្តិបាន។

អ្នកវាយប្រហារក៏បានសម្របសម្រួលឧបករណ៍ប្រើប្រាស់ Microsoft Visual Studio ដោយការបញ្ចូលបណ្ណាល័យព្យាបាទ ដោយប្រើបច្ចេកទេសចាក់ AppDomainManager ដើម្បីធានាបាននូវភាពជាប់លាប់ និងការប្រតិបត្តិកូដពី toolchains ដែលហាក់ដូចជាស្របច្បាប់។

ឧបករណ៍ខាងក្នុង

អ្នកស៊ើបអង្កេតបានពិពណ៌នាអំពី 'ការរៀបចំដ៏ស្មុគស្មាញ' នៃសែលគេហទំព័រខាងក្នុងដែលភ្ជាប់ទៅនឹងដំណើរការព្យាបាទដែលដាក់ជាយុទ្ធសាស្ត្រ។ ដំណើរការទាំងនោះដើរតួជាអ្នកវង់ភ្លេងក្នុងស្រុក ប្រតិបត្តិពាក្យបញ្ជាបញ្ជូនបន្តតាមរយៈ API ជំនួយការ និងប្រគល់ភារកិច្ចទៅឱ្យសមាសធាតុផ្សាំផ្សេងទៀត។ ការរចនារួមបញ្ចូលគ្នាបានរក្សាសកម្មភាពរបស់សត្រូវដែលជាប់ពាក់ព័ន្ធជាមួយអ្នកអភិវឌ្ឍន៍ធម្មតា និងឧបករណ៍រដ្ឋបាល ដែលធ្វើឲ្យការរកឃើញកាន់តែពិបាក។

របៀបដែល API ជំនួយការរបស់ OpenAI ត្រូវបានបំពាន

Backdoor ប្រើ API ជំនួយការជាកន្លែងផ្ទុកសារ/បញ្ជូនត។ ពាក្យ​បញ្ជា​ត្រូវ​បាន​ទៅ​យក​ពី​បញ្ជី​ជំនួយ​ការ ហើយ​ត្រូវ​បាន​បកស្រាយ​តាម​រយៈ​វាល​ពណ៌នា។ ការអនុវត្តទទួលស្គាល់ការណែនាំបីប្រភេទ៖

SLEEP — ណែនាំ​ឱ្យ​ឧបករណ៍​ផ្សាំ​ផ្អាក​ខ្សែ​ស្រឡាយ​សម្រាប់​ចន្លោះ​ពេល​ដែល​បាន​បញ្ជាក់។

Payload — ដឹកនាំភ្នាក់ងារឱ្យទាញយកកូដ ឬការណែនាំពីវាលការណែនាំ ហើយដំណើរការពួកវាក្នុងខ្សែដាច់ដោយឡែកមួយ។

លទ្ធផល — សញ្ញាថាលទ្ធផលប្រតិបត្តិគួរតែត្រូវបានបង្ហោះត្រឡប់ទៅ API ជំនួយការជាមួយនឹងការពិពណ៌នាដែលបានកំណត់ទៅជា 'លទ្ធផល' ដូច្នេះប្រតិបត្តិករអាចទាញយកលទ្ធផល។

លំហូរប្រតិបត្តិការ

នៅពេលសកម្ម ទ្វារខាងក្រោយសួរ API ជំនួយដើម្បីទាញយកពាក្យបញ្ជាដែលបានអ៊ិនគ្រីប។ វាធ្វើការឌិកូដ និងប្រតិបត្តិបន្ទុកក្នុងមូលដ្ឋាន ហើយបន្ទាប់មកប្រកាសលទ្ធផលប្រតិបត្តិត្រឡប់ទៅ API ជាសារ។ គំរូបញ្ជូនបន្តនេះប្រែក្លាយ Cloud AI API ស្របច្បាប់ទៅជាអន្តរការីសម្រាប់ការចេញកិច្ចការ និងការទទួលលទ្ធផល ដែលមានប្រសិទ្ធភាពក្លែងបន្លំចរាចរអ្នកវាយប្រហារក្នុងទម្រង់ប្រើប្រាស់ API ដែលរំពឹងទុក។

គុណលក្ខណៈ ចេតនា និងគោលបំណងយុទ្ធសាស្ត្រ

បច្ចុប្បន្ន​នេះ មិន​មាន​ការ​បញ្ជាក់​ជា​សាធារណៈ​សម្រាប់​យុទ្ធនាការ​នេះ​ទេ។ ការសង្កត់ធ្ងន់របស់ផ្សាំលើការជាប់លាប់ ការគ្រប់គ្រងដោយសម្ងាត់ និងរយៈពេលស្នាក់នៅរយៈពេលយូរបង្ហាញយ៉ាងមុតមាំថាអ្នកវាយប្រហារមានគោលបំណងសម្រាប់ការចូលប្រើប្រាស់ប្រកបដោយនិរន្តរភាព — ស្របតាមការប្រមូលព័ត៌មានសម្ងាត់ ឬសកម្មភាពចារកម្មអូសបន្លាយ។ ករណីនេះក៏បង្ហាញពីនិន្នាការកាន់តែទូលំទូលាយផងដែរ៖ ការប្រើប្រាស់ខុសនៃសេវាកម្មពពកដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយ និងស្របច្បាប់ ដើម្បីគេចពីការរកឃើញ និងធ្វើឱ្យស្មុគស្មាញដល់ការឆ្លើយតបនៃឧប្បត្តិហេតុ។

គួរកត់សម្គាល់ថា Assistants API ត្រូវបានកំណត់ពេលសម្រាប់ការបដិសេធនៅខែសីហា ឆ្នាំ 2026 ហើយនឹងត្រូវបានជំនួសដោយ Responses API ដែលអាចប៉ះពាល់ដល់របៀបដែលវ៉ិចទ័រការរំលោភបំពានស្រដៀងគ្នាដំណើរការនាពេលអនាគត។

របស់ប្រើប្រាស់

SesameOp គឺគួរឱ្យកត់សម្គាល់ព្រោះវាបង្កើតឡើងវិញនូវចំណុចបញ្ចប់នៃការរួមបញ្ចូល AI ដ៏សំខាន់ចូលទៅក្នុងឆានែល C2 សម្ងាត់ ដោយរួមបញ្ចូលគ្នានូវការចាក់ .NET AppDomainManager, obfuscated DLLs, ឧបករណ៍អភិវឌ្ឍន៍ដែលត្រូវបានសម្របសម្រួល និងសែលគេហទំព័រខាងក្នុងដើម្បីសម្រេចបាននូវការគ្រប់គ្រងជាប់លាប់ និងពិបាករកឃើញ។ យុទ្ធនាការនេះបង្ហាញពីតម្រូវការសម្រាប់អ្នកការពារដើម្បីត្រួតពិនិត្យឥរិយាបថឧបករណ៍អ្នកអភិវឌ្ឍន៍មិនធម្មតា ការប្រើប្រាស់ Cloud APIs ពីម៉ាស៊ីនខាងក្នុង និងសញ្ញានៃការចាក់បញ្ចូល DLL ឬការគ្រប់គ្រងពេលដំណើរការនៅក្នុងបរិស្ថាន .NET ។

និន្នាការ

ផ្នែកបន្ថែមត្រូពិច

កម្មវិធីដែលមិនចង់បានសក្តានុពល, ចោរប្លន់កម្មវិធីរុករក
ផ្នែកបន្ថែមត្រូពិចគឺជាផ្នែកនៃកម្មវិធីដែលគួរឱ្យសង្ស័យដែលស្ថិតក្រោមការត្រួតពិនិត្យរបស់អ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺណិតក្នុងអំឡុងពេលស៊ើបអង្កេតរបស់ពួកគេលើគេហទំព័រគួរឱ្យសង្ស័យ។ ដំបូង...

Unsfeths.com

គេហទំព័រក្លែងក្លាយ, Adware, ចោរប្លន់កម្មវិធីរុករក
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងបង្កើតវិធីថ្មីជានិច្ចដើម្បីរៀបចំអ្នកប្រើប្រាស់ និងទាញយកមុខងាររបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតសម្រាប់គោលបំណងព្យាបាទ។ យុទ្ធសាស្ត្របោកបញ្ឆោតមួយបែបនេះ...

ជឿទុកចិត្តលើការលួចបន្លំសុវត្ថិភាពកាបូប

គេហទំព័រក្លែងក្លាយ
នៅពេលដែលការបោកប្រាស់តាមអ៊ីនធឺណិតនៅតែបន្តវិវឌ្ឍ អ្នកប្រើប្រាស់ត្រូវតែមានការប្រុងប្រយ័ត្ននៅពេលរុករកអ៊ីនធឺណិត ជាពិសេសនៅពេលទាក់ទងជាមួយទ្រព្យសម្បត្តិឌីជីថល។...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
32,906
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
23,337
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...