Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware SesameOp Backdoor

SesameOp Backdoor

Nga MezoMalware, Dyer të pasme
Përkthe në:

Studiuesit kanë zbuluar një derë të fshehtë të re, të gjurmuar si SesameOp, që shfrytëzon API-në e Asistentëve OpenAI si një kanal jokonvencional të Komandës dhe Kontrollit (C2). Në vend që të përdorë infrastrukturën tipike të rrjetit ose serverët C2 të personalizuar, malware-i abuzon me API-në e Asistentëve si një mekanizëm të fshehtë releje dhe ruajtjeje për të marrë udhëzime të enkriptuara dhe për të kthyer rezultatet e ekzekutimit, duke u lejuar operatorëve të përziejnë trafikun keqdashës me kërkesat legjitime të API-t.

Si u gjet

Implanti u identifikua në korrik 2025 gjatë një hetimi për një ndërhyrje të sofistikuar ku sulmues të panjohur kishin mbajtur terren për disa muaj. Studiuesit nuk e publikuan identitetin e organizatës së prekur. Analiza pasuese zbuloi një ndërhyrje shumështresore me mekanizma këmbënguljeje dhe komponentë brenda mjedisit që së bashku mbështetën aksesin afatgjatë - sjellje në përputhje me objektivat e spiunazhit.

Arkitekturë Teknike

Zinxhiri i infeksionit i SesameOp përfshin një DLL ngarkues të quajtur Netapi64.dll dhe një komponent .NET backdoor të etiketuar OpenAIAgent.Netapi64. Karakteristikat kryesore teknike:

  • DLL është shumë i turbullt me Eazfuscator.NET dhe është projektuar për fshehtësi dhe qëndrueshmëri.
  • Gjatë kohës së ekzekutimit, ngarkuesi injektohet në procesin pritës nëpërmjet manipulimit .NET AppDomainManager, i shkaktuar nga një skedar .config i krijuar i çiftëzuar me skedarin ekzekutues legjitim të pritësit.

Sulmuesit gjithashtu kompromentuan shërbimet e Microsoft Visual Studio duke futur librari dashakeqe, duke përdorur një teknikë injektimi AppDomainManager për të siguruar qëndrueshmërinë dhe ekzekutimin e kodit nga zinxhirët e mjeteve në dukje legjitimë.

Mjete të Brendshme

Hetuesit përshkruan një 'rregullim kompleks' të shell-eve të brendshme të lidhura me procese të vazhdueshme dhe të vendosura strategjikisht me qëllim të keq. Këto procese veprojnë si orkestrues lokalë, duke ekzekutuar komanda të transmetuara përmes API-t të Asistentëve dhe duke ia kaluar detyrat komponentëve të tjerë të implantuar. Dizajni i kombinuar e mbajti aktivitetin e kundërshtarit të ndërthurur me mjetet normale të zhvilluesit dhe administrimit, duke e bërë zbulimin më të vështirë.

Si abuzohet API-ja e Asistentëve të OpenAI-t

Dera e pasme përdor API-në e Asistentëve si një depo/transmetues mesazhesh. Komandat merren nga lista e Asistentëve dhe interpretohen nëpërmjet fushës së përshkrimit; implementimi njeh tre lloje udhëzimesh:

GJUMI — udhëzon implantin të ndalojë një fije për një interval të caktuar.

Ngarkesa — e udhëzon agjentin të nxjerrë kod ose udhëzime nga fusha e udhëzimeve dhe t'i ekzekutojë ato në një fije të veçantë.

Rezultati — sinjalizon që rezultati i ekzekutimit duhet të postohet përsëri në API-në e Asistentëve me përshkrimin e vendosur në 'Rezultat', në mënyrë që operatori të mund ta gjejë rezultatin.

Fluksi Operacional

Kur është aktiv, backdoor pyet API-në e Asistentëve për të marrë komandat e koduara. Ai dekodon dhe ekzekuton ngarkesat në nivel lokal dhe më pas i dërgon rezultatet e ekzekutimit përsëri API-së si mesazhe. Ky model releje e kthen një API legjitime të IA-së në cloud në një ndërmjetës për lëshimin e detyrave dhe marrjen e rezultateve, duke kamufluar në mënyrë efektive trafikun e sulmuesit brenda modeleve të pritura të përdorimit të API-së.

Atribuimi, Qëllimi dhe Objektivat Strategjike

Aktualisht, nuk ka asnjë atribuim publik për fushatën. Theksi i implantit në këmbëngulje, kontroll të fshehtë dhe kohëzgjatje të gjatë qëndrimi sugjeron fuqimisht se sulmuesit synonin akses të qëndrueshëm - në përputhje me mbledhjen e inteligjencës ose aktivitetin e zgjatur të spiunazhit. Rasti gjithashtu tregon një trend më të gjerë: keqpërdorimin e shërbimeve të cloud-it të përdorura gjerësisht dhe legjitime për të shmangur zbulimin dhe për të komplikuar reagimin ndaj incidenteve.

Vlen të përmendet se API-ja e Asistentëve është planifikuar të hiqet nga përdorimi në gusht 2026 dhe do të zëvendësohet nga API-ja e Përgjigjeve, gjë që mund të ndikojë në mënyrën se si funksionojnë vektorë të ngjashëm abuzimi në të ardhmen.

Ushqime për të marrë me vete

SesameOp është i shquar sepse ripërdor një pikë fundore të integrimit të inteligjencës artificiale kryesore në një kanal të fshehtë C2, duke kombinuar injeksionin .NET AppDomainManager, DLL të turbullta, mjete zhvillimi të kompromentuara dhe shell-e të brendshme web për të arritur një kontroll të qëndrueshëm dhe të vështirë për t'u zbuluar. Fushata thekson nevojën që mbrojtësit të monitorojnë sjelljen e pazakontë të mjeteve të zhvilluesve, përdorimin anormal të API-ve të cloud nga host-et e brendshëm dhe shenjat e injektimit të DLL ose manipulimit të kohës së ekzekutimit në mjediset .NET.

Në trend

Më e shikuara

Po ngarkohet...