ਸੇਸਮਓਪ ਬੈਕਡੋਰ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਨਵੇਂ ਬੈਕਡੋਰ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜਿਸਨੂੰ SesameOp ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ OpenAI Assistants API ਨੂੰ ਇੱਕ ਅਸਾਧਾਰਨ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਚੈਨਲ ਵਜੋਂ ਵਰਤਦਾ ਹੈ। ਆਮ ਨੈੱਟਵਰਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਜਾਂ ਬੇਸਪੋਕ C2 ਸਰਵਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਬਜਾਏ, ਮਾਲਵੇਅਰ ਏਨਕ੍ਰਿਪਟਡ ਨਿਰਦੇਸ਼ਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨਤੀਜਿਆਂ ਨੂੰ ਵਾਪਸ ਕਰਨ ਲਈ ਇੱਕ ਸਟੀਲਥੀ ਰੀਲੇਅ ਅਤੇ ਸਟੋਰੇਜ ਵਿਧੀ ਵਜੋਂ Assistants API ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਓਪਰੇਟਰਾਂ ਨੂੰ ਜਾਇਜ਼ API ਬੇਨਤੀਆਂ ਨਾਲ ਖਤਰਨਾਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਮਿਲਾਉਣ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਇਹ ਕਿਵੇਂ ਮਿਲਿਆ
ਜੁਲਾਈ 2025 ਵਿੱਚ ਇੱਕ ਸੂਝਵਾਨ ਘੁਸਪੈਠ ਦੀ ਜਾਂਚ ਦੌਰਾਨ ਇਮਪਲਾਂਟ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਸੀ ਜਿੱਥੇ ਅਣਜਾਣ ਹਮਲਾਵਰਾਂ ਨੇ ਕਈ ਮਹੀਨਿਆਂ ਤੋਂ ਪੈਰ ਜਮਾਏ ਹੋਏ ਸਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪ੍ਰਭਾਵਿਤ ਸੰਗਠਨ ਦੀ ਪਛਾਣ ਪ੍ਰਕਾਸ਼ਤ ਨਹੀਂ ਕੀਤੀ। ਫਾਲੋ-ਅੱਪ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਨਿਰੰਤਰਤਾ ਵਿਧੀਆਂ ਅਤੇ ਵਾਤਾਵਰਣ ਦੇ ਹਿੱਸਿਆਂ ਦੇ ਨਾਲ ਇੱਕ ਬਹੁ-ਪੱਧਰੀ ਘੁਸਪੈਠ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਜੋ ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਦਾ ਸਮਰਥਨ ਕਰਦੇ ਸਨ - ਜਾਸੂਸੀ ਉਦੇਸ਼ਾਂ ਦੇ ਅਨੁਕੂਲ ਵਿਵਹਾਰ।
ਤਕਨੀਕੀ ਆਰਕੀਟੈਕਚਰ
SesameOp ਦੀ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਵਿੱਚ Netapi64.dll ਨਾਮਕ ਇੱਕ ਲੋਡਰ DLL ਅਤੇ OpenAIAgent.Netapi64 ਲੇਬਲ ਵਾਲਾ ਇੱਕ .NET ਬੈਕਡੋਰ ਕੰਪੋਨੈਂਟ ਸ਼ਾਮਲ ਹੈ। ਮੁੱਖ ਤਕਨੀਕੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ:
- DLL Eazfuscator.NET ਨਾਲ ਬਹੁਤ ਜ਼ਿਆਦਾ ਗੁੰਝਲਦਾਰ ਹੈ ਅਤੇ ਚੋਰੀ ਅਤੇ ਸਥਿਰਤਾ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
- ਰਨਟਾਈਮ 'ਤੇ, ਲੋਡਰ ਨੂੰ .NET AppDomainManager ਹੇਰਾਫੇਰੀ ਰਾਹੀਂ ਹੋਸਟ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੰਜੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਜਾਇਜ਼ ਹੋਸਟ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨਾਲ ਜੋੜੀ ਗਈ ਇੱਕ ਤਿਆਰ ਕੀਤੀ .config ਫਾਈਲ ਦੁਆਰਾ ਸ਼ੁਰੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਹਮਲਾਵਰਾਂ ਨੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿਜ਼ੂਅਲ ਸਟੂਡੀਓ ਯੂਟਿਲਿਟੀਜ਼ ਨੂੰ ਵੀ ਨੁਕਸਾਨ ਪਹੁੰਚਾਇਆ, ਖਤਰਨਾਕ ਲਾਇਬ੍ਰੇਰੀਆਂ ਪਾ ਕੇ, ਇੱਕ ਐਪਡੋਮੇਨਮੈਨੇਜਰ ਇੰਜੈਕਸ਼ਨ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਜਾਪਦਾ ਹੈ ਕਿ ਜਾਇਜ਼ ਟੂਲਚੇਨਾਂ ਤੋਂ ਨਿਰੰਤਰਤਾ ਅਤੇ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਯਕੀਨੀ ਬਣਾਇਆ ਜਾ ਸਕੇ।
ਅੰਦਰੂਨੀ ਟੂਲਿੰਗ
ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ ਅੰਦਰੂਨੀ ਵੈੱਬ ਸ਼ੈੱਲਾਂ ਦੇ ਇੱਕ 'ਗੁੰਝਲਦਾਰ ਪ੍ਰਬੰਧ' ਦਾ ਵਰਣਨ ਕੀਤਾ ਜੋ ਸਥਾਈ, ਰਣਨੀਤਕ ਤੌਰ 'ਤੇ ਰੱਖੇ ਗਏ ਖਤਰਨਾਕ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨਾਲ ਜੁੜੇ ਹੋਏ ਹਨ। ਉਹ ਪ੍ਰਕਿਰਿਆਵਾਂ ਸਥਾਨਕ ਆਰਕੈਸਟ੍ਰੇਟਰ ਵਜੋਂ ਕੰਮ ਕਰਦੀਆਂ ਹਨ, ਅਸਿਸਟੈਂਟਸ API ਰਾਹੀਂ ਰੀਲੇਅ ਕੀਤੇ ਗਏ ਆਦੇਸ਼ਾਂ ਨੂੰ ਲਾਗੂ ਕਰਦੀਆਂ ਹਨ ਅਤੇ ਹੋਰ ਇਮਪਲਾਂਟ ਕੀਤੇ ਹਿੱਸਿਆਂ ਨੂੰ ਕੰਮ ਸੌਂਪਦੀਆਂ ਹਨ। ਸੰਯੁਕਤ ਡਿਜ਼ਾਈਨ ਨੇ ਵਿਰੋਧੀ ਦੀ ਗਤੀਵਿਧੀ ਨੂੰ ਆਮ ਡਿਵੈਲਪਰ ਅਤੇ ਪ੍ਰਸ਼ਾਸਕੀ ਟੂਲਿੰਗ ਨਾਲ ਜੋੜਿਆ ਰੱਖਿਆ, ਜਿਸ ਨਾਲ ਖੋਜ ਵਧੇਰੇ ਮੁਸ਼ਕਲ ਹੋ ਗਈ।
ਓਪਨਏਆਈ ਦੇ ਅਸਿਸਟੈਂਟਸ ਏਪੀਆਈ ਦੀ ਦੁਰਵਰਤੋਂ ਕਿਵੇਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ
ਬੈਕਡੋਰ ਅਸਿਸਟੈਂਟਸ API ਨੂੰ ਸੁਨੇਹਾ ਸਟੋਰ/ਰੀਲੇਅ ਵਜੋਂ ਵਰਤਦਾ ਹੈ। ਕਮਾਂਡਾਂ ਅਸਿਸਟੈਂਟਸ ਸੂਚੀ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ ਅਤੇ ਵਰਣਨ ਖੇਤਰ ਰਾਹੀਂ ਵਿਆਖਿਆ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ; ਲਾਗੂਕਰਨ ਤਿੰਨ ਹਦਾਇਤਾਂ ਕਿਸਮਾਂ ਨੂੰ ਪਛਾਣਦਾ ਹੈ:
SLEEP — ਇਮਪਲਾਂਟ ਨੂੰ ਇੱਕ ਨਿਸ਼ਚਿਤ ਅੰਤਰਾਲ ਲਈ ਇੱਕ ਧਾਗੇ ਨੂੰ ਰੋਕਣ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦਾ ਹੈ।
ਪੇਲੋਡ — ਏਜੰਟ ਨੂੰ ਹਦਾਇਤਾਂ ਵਾਲੇ ਖੇਤਰ ਵਿੱਚੋਂ ਕੋਡ ਜਾਂ ਹਦਾਇਤਾਂ ਕੱਢਣ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਵੱਖਰੇ ਥ੍ਰੈੱਡ ਵਿੱਚ ਚਲਾਉਣ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦਾ ਹੈ।
ਨਤੀਜਾ — ਇਹ ਸੰਕੇਤ ਦਿੰਦਾ ਹੈ ਕਿ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਆਉਟਪੁੱਟ ਨੂੰ 'ਨਤੀਜਾ' 'ਤੇ ਸੈੱਟ ਕੀਤੇ ਵੇਰਵੇ ਦੇ ਨਾਲ ਅਸਿਸਟੈਂਟਸ API 'ਤੇ ਵਾਪਸ ਪੋਸਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਤਾਂ ਜੋ ਓਪਰੇਟਰ ਨਤੀਜਾ ਪ੍ਰਾਪਤ ਕਰ ਸਕੇ।
ਕਾਰਜਸ਼ੀਲ ਪ੍ਰਵਾਹ
ਜਦੋਂ ਕਿਰਿਆਸ਼ੀਲ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਬੈਕਡੋਰ ਇਨਕ੍ਰਿਪਟਡ ਕਮਾਂਡਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਅਸਿਸਟੈਂਟਸ API ਨੂੰ ਪੁੱਛਗਿੱਛ ਕਰਦਾ ਹੈ। ਇਹ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਪੇਲੋਡਾਂ ਨੂੰ ਡੀਕੋਡ ਅਤੇ ਐਗਜ਼ੀਕਿਊਟ ਕਰਦਾ ਹੈ ਅਤੇ ਫਿਰ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨਤੀਜਿਆਂ ਨੂੰ API ਵਿੱਚ ਸੁਨੇਹਿਆਂ ਦੇ ਰੂਪ ਵਿੱਚ ਪੋਸਟ ਕਰਦਾ ਹੈ। ਇਹ ਰੀਲੇਅ ਮਾਡਲ ਇੱਕ ਜਾਇਜ਼ ਕਲਾਉਡ AI API ਨੂੰ ਕਾਰਜ ਜਾਰੀ ਕਰਨ ਅਤੇ ਆਉਟਪੁੱਟ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਵਿਚੋਲੇ ਵਿੱਚ ਬਦਲ ਦਿੰਦਾ ਹੈ, ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਹਮਲਾਵਰ ਟ੍ਰੈਫਿਕ ਨੂੰ ਉਮੀਦ ਕੀਤੇ API ਵਰਤੋਂ ਪੈਟਰਨਾਂ ਦੇ ਅੰਦਰ ਛੁਪਾਉਂਦਾ ਹੈ।
ਵਿਸ਼ੇਸ਼ਤਾ, ਇਰਾਦਾ, ਅਤੇ ਰਣਨੀਤਕ ਉਦੇਸ਼
ਇਸ ਵੇਲੇ, ਮੁਹਿੰਮ ਲਈ ਕੋਈ ਜਨਤਕ ਵਿਸ਼ੇਸ਼ਤਾ ਨਹੀਂ ਹੈ। ਇਮਪਲਾਂਟ ਦਾ ਦ੍ਰਿੜਤਾ, ਗੁਪਤ ਨਿਯੰਤਰਣ, ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਰਹਿਣ ਦੇ ਸਮੇਂ 'ਤੇ ਜ਼ੋਰ ਇਸ ਗੱਲ ਦਾ ਜ਼ੋਰਦਾਰ ਸੰਕੇਤ ਦਿੰਦਾ ਹੈ ਕਿ ਹਮਲਾਵਰਾਂ ਦਾ ਉਦੇਸ਼ ਨਿਰੰਤਰ ਪਹੁੰਚ ਲਈ ਸੀ - ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਜਾਂ ਲੰਮੀ ਜਾਸੂਸੀ ਗਤੀਵਿਧੀ ਦੇ ਅਨੁਸਾਰ। ਇਹ ਮਾਮਲਾ ਇੱਕ ਵਿਆਪਕ ਰੁਝਾਨ ਨੂੰ ਵੀ ਦਰਸਾਉਂਦਾ ਹੈ: ਖੋਜ ਤੋਂ ਬਚਣ ਅਤੇ ਘਟਨਾ ਪ੍ਰਤੀਕਿਰਿਆ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਣ ਲਈ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ, ਜਾਇਜ਼ ਕਲਾਉਡ ਸੇਵਾਵਾਂ ਦੀ ਦੁਰਵਰਤੋਂ।
ਇਹ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿ Assistants API ਨੂੰ ਅਗਸਤ 2026 ਵਿੱਚ ਬਰਤਰਫ਼ ਕਰਨ ਲਈ ਤਹਿ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਇਸਨੂੰ Responses API ਦੁਆਰਾ ਬਦਲ ਦਿੱਤਾ ਜਾਵੇਗਾ, ਜੋ ਭਵਿੱਖ ਵਿੱਚ ਇਸ ਤਰ੍ਹਾਂ ਦੇ ਦੁਰਵਿਵਹਾਰ ਵੈਕਟਰਾਂ ਦੇ ਕੰਮ ਕਰਨ ਦੇ ਤਰੀਕੇ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰ ਸਕਦਾ ਹੈ।
ਟੇਕਵੇਅਜ਼
SesameOp ਇਸ ਲਈ ਪ੍ਰਸਿੱਧ ਹੈ ਕਿਉਂਕਿ ਇਹ ਇੱਕ ਮੁੱਖ ਧਾਰਾ AI ਏਕੀਕਰਣ ਅੰਤਮ ਬਿੰਦੂ ਨੂੰ ਇੱਕ ਗੁਪਤ C2 ਚੈਨਲ ਵਿੱਚ ਦੁਬਾਰਾ ਤਿਆਰ ਕਰਦਾ ਹੈ, .NET AppDomainManager ਇੰਜੈਕਸ਼ਨ, ਗੁੰਝਲਦਾਰ DLL, ਸਮਝੌਤਾ ਕੀਤੇ ਵਿਕਾਸ ਟੂਲਿੰਗ, ਅਤੇ ਅੰਦਰੂਨੀ ਵੈੱਬ ਸ਼ੈੱਲਾਂ ਨੂੰ ਜੋੜਦਾ ਹੈ ਤਾਂ ਜੋ ਟਿਕਾਊ, ਖੋਜਣ ਵਿੱਚ ਮੁਸ਼ਕਲ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕੇ। ਇਹ ਮੁਹਿੰਮ ਡਿਫੈਂਡਰਾਂ ਲਈ ਅਸਾਧਾਰਨ ਡਿਵੈਲਪਰ-ਟੂਲ ਵਿਵਹਾਰ, ਅੰਦਰੂਨੀ ਹੋਸਟਾਂ ਤੋਂ ਕਲਾਉਡ API ਦੀ ਅਸਾਧਾਰਨ ਵਰਤੋਂ, ਅਤੇ .NET ਵਾਤਾਵਰਣ ਵਿੱਚ DLL ਇੰਜੈਕਸ਼ਨ ਜਾਂ ਰਨਟਾਈਮ ਹੇਰਾਫੇਰੀ ਦੇ ਸੰਕੇਤਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।
