다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 SesameOp 백도어

SesameOp 백도어

멀웨어, 백도어년에 Mezo 년까지
번역 :

연구원들은 SesameOp으로 추적되는 새로운 백도어를 발견했습니다. 이 백도어는 OpenAI Assistants API를 비전통적인 명령 및 제어(C2) 채널로 활용합니다. 이 맬웨어는 일반적인 네트워크 인프라나 맞춤형 C2 서버를 사용하는 대신, Assistants API를 은밀한 릴레이 및 저장 메커니즘으로 악용하여 암호화된 명령을 검색하고 실행 결과를 반환함으로써, 운영자가 악성 트래픽과 합법적인 API 요청을 혼합할 수 있도록 합니다.

그것이 발견된 방법

이 임플란트는 2025년 7월, 알려지지 않은 공격자들이 수개월 동안 거점을 유지해 온 정교한 침입 사건을 조사하던 중 발견되었습니다. 연구진은 영향을 받은 조직의 신원을 공개하지 않았습니다. 후속 분석 결과, 지속성 메커니즘과 환경 내 구성 요소를 갖춘 다층적인 침입이 확인되었으며, 이러한 요소들이 장기 접근을 뒷받침했습니다. 이는 간첩 활동과 일치하는 행동입니다.

기술 아키텍처

SesameOp의 감염 경로에는 Netapi64.dll이라는 로더 DLL과 OpenAIAgent.Netapi64라는 .NET 백도어 구성 요소가 포함되어 있습니다. 주요 기술적 특징은 다음과 같습니다.

  • DLL은 Eazfuscator.NET을 사용하여 강력하게 난독화되었으며 은밀성과 지속성을 위해 설계되었습니다.
  • 런타임에 로더는 합법적인 호스트 실행 파일과 함께 조작된 .config 파일에 의해 트리거되는 .NET AppDomainManager 조작을 통해 호스트 프로세스에 삽입됩니다.

공격자는 AppDomainManager 주입 기술을 사용하여 겉보기에 합법적인 툴체인에서 지속성과 코드 실행을 보장함으로써 악성 라이브러리를 삽입하여 Microsoft Visual Studio 유틸리티를 손상시켰습니다.

내부 툴링

조사관들은 전략적으로 배치된 지속적이고 악성 프로세스와 연결된 내부 웹 셸의 '복잡한 배열'을 설명했습니다. 이러한 프로세스는 로컬 오케스트레이터 역할을 하며, Assistants API를 통해 전달된 명령을 실행하고 다른 이식된 구성 요소에 작업을 넘깁니다. 이러한 결합된 설계로 인해 공격자의 활동이 일반적인 개발자 및 관리 도구와 얽혀 탐지가 더욱 어려워졌습니다.

OpenAI의 Assistants API가 어떻게 남용되는가

백도어는 Assistants API를 메시지 저장소/중계기로 사용합니다. 명령은 Assistants 목록에서 가져오고 설명 필드를 통해 해석됩니다. 구현체는 세 가지 명령어 유형을 인식합니다.

SLEEP — 임플란트에 지정된 간격 동안 스레드를 일시 중지하도록 지시합니다.

페이로드 - 에이전트에게 명령 필드에서 코드나 명령을 추출하여 별도의 스레드에서 실행하도록 지시합니다.

결과 - 실행 출력이 설명을 '결과'로 설정하여 Assistants API에 다시 게시되어야 함을 나타내는 신호입니다. 이를 통해 운영자는 결과를 검색할 수 있습니다.

운영 흐름

백도어가 활성화되면 Assistants API에 쿼리를 보내 암호화된 명령을 검색합니다. 로컬에서 페이로드를 디코딩하고 실행한 후 실행 결과를 API에 메시지로 게시합니다. 이 릴레이 모델은 합법적인 클라우드 AI API를 작업을 실행하고 출력을 수신하는 중개자로 전환하여, 예상되는 API 사용 패턴 내에서 공격자 트래픽을 효과적으로 위장합니다.

귀속, 의도 및 전략적 목표

현재 이 캠페인에 대한 공개적인 출처는 없습니다. 임플란트가 지속성, 은밀한 제어, 그리고 장시간의 체류 시간을 강조하는 것은 공격자들이 정보 수집이나 장기 간첩 활동과 마찬가지로 지속적인 접근을 목표로 했음을 강력히 시사합니다. 또한 이 사례는 탐지를 피하고 사고 대응을 복잡하게 만들기 위해 널리 사용되는 합법적인 클라우드 서비스를 악용하는 더 광범위한 추세를 보여줍니다.

Assistants API는 2026년 8월에 지원 중단이 예정되어 있으며 Responses API로 대체될 예정이며, 이는 향후 유사한 학대 벡터가 작동하는 방식에 영향을 미칠 수 있습니다.

테이크아웃

SesameOp은 주류 AI 통합 엔드포인트를 은밀한 C2 채널로 재편하여 .NET AppDomainManager 주입, 난독화된 DLL, 손상된 개발 도구, 내부 웹 셸을 결합하여 견고하고 탐지하기 어려운 제어를 구현한다는 점에서 주목할 만합니다. 이 캠페인은 방어자가 개발자 도구의 비정상적인 동작, 내부 호스트에서 클라우드 API의 비정상적인 사용, 그리고 .NET 환경에서 DLL 주입 또는 런타임 조작의 징후를 모니터링해야 할 필요성을 강조합니다.

트렌드

열대 확장

잠재적으로 원하지 않는 프로그램, 브라우저 하이재커
Tropical Extension은 의심스러운 웹 사이트를 조사하는 동안 사이버 보안 전문가의 조사를 받은 의심스러운 소프트웨어입니다. 처음에는 사용자에게 열대 테마 브라우저 배경화면의 매력을 제공하는 유용한 확장 프로그램입니다. 그러나 보안 전문가의 면밀한 조사 결과 Tropical Extension이 실제로 브라우저 하이재커라는 것이...

Unsfeths.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
사이버 범죄자들은 사용자를 조종하고 브라우저 기능을 악의적인 목적으로 악용하는 새로운 수법을 끊임없이 개발하고 있습니다. 이러한 사기 수법 중 하나는 가짜 인증 메시지와 오해의 소지가 있는 푸시 알림입니다. Unsfeths.com이라는 악성 사이트는 이러한 추세가 확산되는 대표적인 사례이며, 사용자가 익숙하지 않거나 의심스러운 페이지를 탐색할 때...

Trust Wallet 보안 침해 사기

불량 웹사이트
온라인 사기 수법이 끊임없이 진화함에 따라, 사용자는 특히 디지털 자산을 다룰 때 인터넷을 이용할 때 항상 경계해야 합니다. 사이버 범죄자들은 의심하지 않는 피해자들을 속이기 위해 합법적인 플랫폼과 유사한 가짜 플랫폼을 끊임없이 만들어냅니다. 이러한 사례 중 하나는 유명 암호화폐 서비스에 대한 사용자의 신뢰를 악용하는 사기 수법인 트러스트 월렛 보안...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
51,991
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
40,213
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
38,133
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...