बहु-लाइसेन्स छूट उद्धरण
खतरा डाटाबेस मालवेयर SesameOp ब्याकडोर

SesameOp ब्याकडोर

मालवेयर, पछाडिको ढोका मा Mezo सम्म
यसमा अनुवाद गर्नुहोस्:

अनुसन्धानकर्ताहरूले SesameOp को रूपमा ट्र्याक गरिएको एउटा नयाँ ब्याकडोर पत्ता लगाएका छन्, जसले OpenAI Assistants API लाई अपरम्परागत कमाण्ड-एन्ड-कन्ट्रोल (C2) च्यानलको रूपमा प्रयोग गर्दछ। विशिष्ट नेटवर्क पूर्वाधार वा बेस्पोक C2 सर्भरहरू प्रयोग गर्नुको सट्टा, मालवेयरले इन्क्रिप्टेड निर्देशनहरू पुन: प्राप्त गर्न र कार्यान्वयन परिणामहरू फिर्ता गर्न स्टिल्थी रिले र भण्डारण संयन्त्रको रूपमा सहायक API को दुरुपयोग गर्दछ, जसले अपरेटरहरूलाई वैध API अनुरोधहरूसँग दुर्भावनापूर्ण ट्राफिक मिश्रण गर्न अनुमति दिन्छ।

यो कसरी फेला पर्यो

जुलाई २०२५ मा अज्ञात आक्रमणकारीहरूले धेरै महिनादेखि आफ्नो पकड बनाएको परिष्कृत घुसपैठको अनुसन्धानको क्रममा इम्प्लान्ट पहिचान गरिएको थियो। अनुसन्धानकर्ताहरूले प्रभावित संस्थाको पहिचान प्रकाशित गरेनन्। अनुगमन विश्लेषणले दीर्घकालीन पहुँचलाई सामूहिक रूपमा समर्थन गर्ने दृढता संयन्त्र र वातावरणीय घटकहरू सहितको बहु-स्तरीय घुसपैठ प्रकट गर्‍यो - जासुसी उद्देश्यहरूसँग मिल्दो व्यवहार।

प्राविधिक वास्तुकला

SesameOp को संक्रमण श्रृंखलामा Netapi64.dll नामक लोडर DLL र OpenAIAgent.Netapi64 लेबल गरिएको .NET ब्याकडोर कम्पोनेन्ट समावेश छ। मुख्य प्राविधिक विशेषताहरू:

  • DLL Eazfuscator.NET सँग धेरै अस्पष्ट छ र चोरी र दृढताको लागि डिजाइन गरिएको हो।
  • रनटाइममा, लोडरलाई .NET AppDomainManager हेरफेर मार्फत होस्ट प्रक्रियामा इन्जेक्ट गरिन्छ, जुन वैध होस्ट एक्जिक्युटेबलसँग जोडिएको .config फाइलद्वारा ट्रिगर गरिन्छ।

आक्रमणकारीहरूले माइक्रोसफ्ट भिजुअल स्टुडियो उपयोगिताहरूलाई पनि दुर्भावनापूर्ण पुस्तकालयहरू घुसाएर सम्झौता गरे, AppDomainManager इंजेक्शन प्रविधि प्रयोग गरेर देखिने वैध टूलचेनहरूबाट निरन्तरता र कोड कार्यान्वयन सुनिश्चित गर्न।

आन्तरिक उपकरण

अन्वेषकहरूले आन्तरिक वेब शेलहरूको 'जटिल व्यवस्था' लाई निरन्तर, रणनीतिक रूपमा राखिएको दुर्भावनापूर्ण प्रक्रियाहरूसँग बाँधिएको वर्णन गरे। ती प्रक्रियाहरूले स्थानीय अर्केस्ट्रेटरको रूपमा काम गर्छन्, सहायक API मार्फत रिले गरिएका आदेशहरू कार्यान्वयन गर्छन् र अन्य प्रत्यारोपित कम्पोनेन्टहरूलाई कार्यहरू हस्तान्तरण गर्छन्। संयुक्त डिजाइनले विरोधीको गतिविधिलाई सामान्य विकासकर्ता र प्रशासनिक उपकरणसँग अन्तर्निहित राख्यो, जसले गर्दा पत्ता लगाउन अझ गाह्रो भयो।

ओपनएआईको सहायक एपीआई कसरी दुरुपयोग हुन्छ?

ब्याकडोरले सहायक API लाई सन्देश भण्डारण/रिलेको रूपमा प्रयोग गर्दछ। आदेशहरू सहायक सूचीबाट ल्याइन्छ र विवरण क्षेत्र मार्फत व्याख्या गरिन्छ; कार्यान्वयनले तीन निर्देशन प्रकारहरूलाई पहिचान गर्दछ:

SLEEP - इम्प्लान्टलाई तोकिएको अन्तरालको लागि थ्रेड पज गर्न निर्देशन दिन्छ।

पेलोड — एजेन्टलाई निर्देशन क्षेत्रबाट कोड वा निर्देशनहरू निकाल्न र तिनीहरूलाई छुट्टै थ्रेडमा चलाउन निर्देशन दिन्छ।

नतिजा — कार्यान्वयन आउटपुटलाई 'परिणाम' मा सेट गरिएको विवरणको साथ सहायक API मा फिर्ता पोस्ट गरिनुपर्छ भन्ने संकेत गर्छ, ताकि अपरेटरले परिणाम पुन: प्राप्त गर्न सकोस्।

सञ्चालन प्रवाह

सक्रिय हुँदा, ब्याकडोरले एन्क्रिप्टेड आदेशहरू पुन: प्राप्त गर्न सहायक API लाई क्वेरी गर्दछ। यसले स्थानीय रूपमा पेलोडहरू डिकोड र कार्यान्वयन गर्दछ र त्यसपछि कार्यान्वयन परिणामहरूलाई सन्देशको रूपमा API मा फिर्ता पोस्ट गर्दछ। यो रिले मोडेलले वैध क्लाउड AI API लाई कार्यहरू जारी गर्न र आउटपुटहरू प्राप्त गर्न मध्यस्थकर्तामा परिणत गर्दछ, अपेक्षित API प्रयोग ढाँचाहरू भित्र आक्रमणकारी ट्राफिकलाई प्रभावकारी रूपमा छद्मवेश गर्दछ।

विशेषता, उद्देश्य, र रणनीतिक उद्देश्यहरू

हाल, अभियानको लागि कुनै सार्वजनिक श्रेय छैन। इम्प्लान्टले दृढता, गोप्य नियन्त्रण, र लामो समयसम्म बसोबास गर्ने समयमा जोड दिएको कुराले आक्रमणकारीहरूले दिगो पहुँचको लागि लक्षित गरेको कुरालाई जोड दिन्छ - गुप्तचर सङ्कलन वा लामो समयसम्म जासुसी गतिविधिसँग मेल खान्छ। यो मुद्दाले फराकिलो प्रवृत्ति पनि देखाउँछ: पत्ता लगाउनबाट बच्न र घटना प्रतिक्रियालाई जटिल बनाउन व्यापक रूपमा प्रयोग हुने, वैध क्लाउड सेवाहरूको दुरुपयोग।

यो ध्यान दिन लायक छ कि सहायक API अगस्ट २०२६ मा हटाइने तालिका छ र यसलाई प्रतिक्रिया API द्वारा हटाइनेछ, जसले भविष्यमा समान दुरुपयोग भेक्टरहरूले कसरी काम गर्छन् भन्ने कुरालाई असर गर्न सक्छ।

टेकवेहरू

SesameOp उल्लेखनीय छ किनकि यसले एक मुख्यधारा AI एकीकरण अन्त्य बिन्दुलाई एक गुप्त C2 च्यानलमा पुन: प्रयोग गर्दछ, .NET AppDomainManager इंजेक्शन, अस्पष्ट DLL हरू, सम्झौता गरिएको विकास उपकरण, र आन्तरिक वेब शेलहरूलाई टिकाउ, पत्ता लगाउन गाह्रो नियन्त्रण प्राप्त गर्न संयोजन गर्दछ। अभियानले डिफेन्डरहरूलाई असामान्य विकासकर्ता-उपकरण व्यवहार, आन्तरिक होस्टहरूबाट क्लाउड API हरूको असामान्य प्रयोग, र .NET वातावरणमा DLL इंजेक्शन वा रनटाइम हेरफेरका संकेतहरूको निगरानी गर्न आवश्यकतालाई हाइलाइट गर्दछ।

ट्रेन्डिङ

उष्णकटिबंधीय विस्तार

सम्भावित अवांछित कार्यक्रमहरू, ब्राउजर अपहरणकर्ताहरू
ट्रपिकल एक्स्टेन्सन संदिग्ध सफ्टवेयरको एक टुक्रा हो जुन शंकास्पद वेबसाइटहरूको अनुसन्धानको क्रममा साइबर सुरक्षा विशेषज्ञहरूको छानबिनमा आयो। प्रारम्भमा, यो एक उपयोगी विस्तार हो, प्रयोगकर्ताहरूलाई...

Unsfeths.com

दुष्ट वेबसाइटहरू, एडवेयर, ब्राउजर अपहरणकर्ताहरू
साइबर अपराधीहरूले प्रयोगकर्ताहरूलाई हेरफेर गर्न र दुर्भावनापूर्ण उद्देश्यका लागि ब्राउजर सुविधाहरूको शोषण गर्न निरन्तर नयाँ तरिकाहरू विकास गरिरहेका छन्। यस्तै एउटा भ्रामक युक्ति भनेको नक्कली...

ट्रस्ट वालेट सुरक्षा उल्लंघन घोटाला

दुष्ट वेबसाइटहरू
अनलाइन घोटालाहरू विकसित हुँदै जाँदा, प्रयोगकर्ताहरूले इन्टरनेट नेभिगेट गर्दा, विशेष गरी डिजिटल सम्पत्तिहरूसँग व्यवहार गर्दा सतर्क रहनु पर्छ। साइबर अपराधीहरूले शंका नगर्ने पीडितहरूलाई धोका दिन वैध...

धेरै हेरिएको

मालवेयर

फिसिङ, स्प्याम
32,906
'Apple Pay निलम्बित' घोटाला सन्देश एक प्रकारको फिसिङ युक्ति हो जसले Apple Pay का प्रयोगकर्ताहरूलाई लक्षित गर्दछ। सन्देशले प्रयोगकर्ताको एप्पल पे वालेट निलम्बित गरिएको दाबी गरेको छ र तिनीहरूलाई पुनर्स्थापना गर्न लिङ्क क्लिक गर्न आग्रह गर्दछ। यद्यपि, लिङ्कमा क्लिक गर्दा प्रयोगकर्तालाई नक्कली वेबसाइटमा लैजान्छ जुन उनीहरूको व्यक्तिगत र वित्तीय जानकारी चोर्न डिजाइन गरिएको हो। यदि एक...
'गीक स्क्वाड' इमेल घोटाला स्क्रिनसट

'गीक स्क्वाड' इमेल घोटाला

फिसिङ, स्प्याम
29,936
Geek Squad, एक लोकप्रिय टेक समर्थन प्रदायक, Geek Squad Email Scam भनिने फिसिङ घोटालाको शिकार भएको छ। यो प्राविधिक समर्थन घोटालाले नक्कली इमेलहरू प्रयोग गर्दछ जसले मानिसहरूलाई उनीहरूको व्यक्तिगत...

Fuq.com

रोग विरोधी स्पाइवेयर कार्यक्रम, म्याक मालवेयर
23,337
Fuq.com एक एडवेयर-प्रकारको कार्यक्रम हो जसले अश्लील सामग्री भएका वेबसाइटहरूलाई बढावा दिन्छ। यस सम्भावित अवांछित कार्यक्रम (PUP) को विज्ञापन अभियानहरू धेरै आक्रामक छन्। तिनीहरूले आफ्ना पीडितहरूलाई...
लोड गर्दै...