Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa SesameOp Backdoor

SesameOp Backdoor

Autorius Mezo, Kenkėjiška programa, Užpakalinės durys
Versti į:

Tyrėjai atrado naują „užpakalinių durų“ mechanizmą, atsekamą kaip „SesameOp“, kuris naudoja „OpenAI Assistants“ API kaip netradicinį komandų ir valdymo (C2) kanalą. Užuot naudojusi įprastą tinklo infrastruktūrą ar specialiai sukurtus C2 serverius, kenkėjiška programa piktnaudžiauja „Assistants“ API kaip slaptu perdavimo ir saugojimo mechanizmu, kad gautų užšifruotas instrukcijas ir pateiktų vykdymo rezultatus, leisdama operatoriams sujungti kenkėjišką srautą su teisėtomis API užklausomis.

Kaip tai buvo rasta

Implantas buvo identifikuotas 2025 m. liepos mėn. tiriant sudėtingą įsilaužimą, kuriame nežinomi užpuolikai kelis mėnesius laikėsi savo vietų. Tyrėjai nepaskelbė paveiktos organizacijos tapatybės. Tolesnė analizė atskleidė daugiasluoksnį įsilaužimą su atkaklumo mechanizmais ir aplinkos komponentais, kurie kartu palaikė ilgalaikę prieigą – elgesį, atitinkantį šnipinėjimo tikslus.

Techninė architektūra

„SesameOp“ užkrėtimo grandinėje yra įkėlimo DLL, pavadintas „Netapi64.dll“, ir .NET galinių durų komponentas, pavadintas „OpenAIAgent.Netapi64“. Pagrindinės techninės charakteristikos:

  • DLL yra stipriai užmaskuota naudojant „Eazfuscator.NET“ ir sukurta slaptam bei nuolatiniam veikimui.
  • Vykdymo metu įkėlimo programa įterpiama į pagrindinį procesą naudojant .NET AppDomainManager manipuliavimą, kurį aktyvuoja sukurtas .config failas, susietas su teisėtu pagrindinio kompiuterio vykdomuoju failu.

Užpuolikai taip pat pažeidė „Microsoft Visual Studio“ programas, įterpdami kenkėjiškas bibliotekas, naudodami „AppDomainManager“ injekcijos techniką, kad užtikrintų kodo išlikimą ir vykdymą iš, regis, teisėtų įrankių grandinių.

Vidiniai įrankiai

Tyrėjai aprašė „sudėtingą vidinių žiniatinklio apvalkalų išdėstymą“, susietą su nuolatiniais, strategiškai išdėstytais kenkėjiškais procesais. Šie procesai veikia kaip vietiniai organizatoriai, vykdydami per „Assistants“ API perduodamas komandas ir perduodami užduotis kitiems įdiegtiems komponentams. Dėl tokio bendro dizaino priešininko veikla buvo susieta su įprastais kūrėjo ir administravimo įrankiais, todėl aptikimą buvo sunkiau.

Kaip piktnaudžiaujama „OpenAI“ asistentų API

Užpakalinės durys naudoja „Assistants“ API kaip pranešimų saugyklą / perdavimą. Komandos gaunamos iš „Assistants“ sąrašo ir interpretuojamos per aprašymo lauką; įgyvendinimas atpažįsta tris instrukcijų tipus:

MIEGO režimas – nurodo implantui pristabdyti siūlą nurodytam intervalui.

Naudingoji apkrova – nurodo agentui išgauti kodą arba instrukcijas iš instrukcijų lauko ir vykdyti jas atskirame gijoje.

Rezultatas – signalizuoja, kad vykdymo išvestis turėtų būti pateikta atgal į „Assistants“ API su aprašymu, nustatytu į „Rezultatas“, kad operatorius galėtų gauti rezultatą.

Veiklos srautas

Kai aktyvus, galinis durų užklausos pateikiamos „Assistants“ API, kad gautų užšifruotas komandas. Jis dekoduoja ir vykdo naudingąją apkrovą vietoje, o tada vykdymo rezultatus siunčia atgal į API kaip pranešimus. Šis perdavimo modelis paverčia teisėtą debesies dirbtinio intelekto API tarpininku, skirtu užduotims atlikti ir rezultatams gauti, efektyviai užmaskuodamas užpuoliko srautą numatomuose API naudojimo modeliuose.

Priskyrimas, ketinimas ir strateginiai tikslai

Šiuo metu viešai nežinoma, už ką buvo atsakinga kampanija. Implanto akcentavimas atkaklumui, slaptai kontrolei ir ilgam veikimo laikui aiškiai rodo, kad užpuolikai siekė nuolatinės prieigos – tai atitinka žvalgybos duomenų rinkimą arba ilgalaikę šnipinėjimo veiklą. Šis atvejis taip pat rodo platesnę tendenciją: plačiai naudojamų, teisėtų debesijos paslaugų naudojimas siekiant išvengti aptikimo ir apsunkinti reagavimą į incidentus.

Verta paminėti, kad „Assistants“ API nebenaudos 2026 m. rugpjūčio mėn. ir ją pakeis „Responses“ API, o tai gali turėti įtakos panašių piktnaudžiavimo vektorių veikimui ateityje.

Išsinešimui

„SesameOp“ išsiskiria tuo, kad ji perkelia įprastą dirbtinio intelekto integracijos galinį tašką į slaptą C2 kanalą, derindama .NET „AppDomainManager“ injekciją, užmaskuotus DLL failus, pažeistus kūrimo įrankius ir vidinius žiniatinklio apvalkalus, kad būtų pasiekta ilgalaikė ir sunkiai aptinkama kontrolė. Kampanija pabrėžia, kad gynėjai turi stebėti neįprastą kūrėjo įrankių elgesį, anomalų debesies API naudojimą iš vidinių kompiuterių ir DLL injekcijos ar vykdymo laiko manipuliavimo požymius .NET aplinkose.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
32,906
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...