Попуст за више лиценци
Тхреат Датабасе Малваре Задња врата SesameOp-а

Задња врата SesameOp-а

До Mezo. у Малваре, Бацкдоорс
Преведи на:

Истраживачи су открили нови бекдор, праћен као SesameOp, који користи OpenAI Assistants API као неконвенционални канал за командовање и контролу (C2). Уместо да користи типичну мрежну инфраструктуру или прилагођене C2 сервере, злонамерни софтвер злоупотребљава Assistants API као прикривени механизам за релеј и складиштење како би преузео шифроване инструкције и вратио резултате извршења, омогућавајући оператерима да мешају злонамерни саобраћај са легитимним API захтевима.

Како је пронађено

Имплантат је идентификован у јулу 2025. године током истраге софистицираног упада где су непознати нападачи одржавали своје положаје неколико месеци. Истраживачи нису објавили идентитет погођене организације. Накнадна анализа открила је вишеслојни упад са механизмима упорности и компонентама у окружењу које су заједно подржавале дугорочни приступ - понашање у складу са циљевима шпијунаже.

Техничка архитектура

Ланац инфекције вируса SesameOp укључује DLL за учитавање под називом Netapi64.dll и .NET компоненту за улазак у систем под називом OpenAIAgent.Netapi64. Кључне техничке карактеристике:

  • DLL је јако замаскиран помоћу Eazfuscator.NET-а и дизајниран је за прикривеност и упорност.
  • Током извршавања, програм за учитавање се убризгава у хост процес путем манипулације .NET AppDomainManager-ом, покреће га креирана .config датотека упарена са легитимним извршним фајлом хоста.

Нападачи су такође компромитовали услужне програме Microsoft Visual Studio уметањем злонамерних библиотека, користећи технику убризгавања AppDomainManager-а како би осигурали постојаност и извршавање кода из наизглед легитимних алата.

Унутрашња обрада алата

Истраживачи су описали „сложен аранжман“ интерних веб шкољки повезаних са упорним, стратешки постављеним злонамерним процесима. Ти процеси делују као локални оркестратори, извршавајући команде које се преносе преко Assistants API-ја и предајући задатке другим имплантираним компонентама. Комбиновани дизајн је држао активности противника испреплетеним са уобичајеним алатима за програмере и администрацију, што је отежало откривање.

Како се злоупотребљава OpenAI-јев API за помоћнике

Бакдоор користи Асистентс API као складиште/релеј порука. Команде се преузимају са листе Асистената и интерпретирају преко поља за опис; имплементација препознаје три типа инструкција:

СПАВАЊЕ — налаже импланту да паузира нит током одређеног интервала.

Корисни терет — усмерава агента да издвоји код или инструкције из поља инструкција и покрене их у посебној нити.

Резултат — сигнализира да излаз извршења треба вратити у API помоћника са описом подешеним на „Резултат“, како би оператер могао да преузме исход.

Оперативни ток

Када је активан, задња врата упитују API помоћника како би преузела шифроване команде. Декодирају и извршавају корисне податке локално, а затим шаљу резултате извршавања назад API-ју као поруке. Овај модел релеја претвара легитимни API вештачке интелигенције у облаку у посредника за издавање задатака и примање излаза, ефикасно камуфлирајући саобраћај нападача унутар очекиваних образаца коришћења API-ја.

Атрибуција, намера и стратешки циљеви

Тренутно нема јавног потврђивања ауторства за кампању. Нагласак имплантата на упорности, тајној контроли и дугом времену задржавања снажно сугерише да су нападачи циљали на континуирани приступ — што је у складу са прикупљањем обавештајних података или продуженим шпијунским активностима. Случај такође показује шири тренд: злоупотребу широко коришћених, легитимних услуга у облаку како би се избегло откривање и закомпликовао одговор на инциденте.

Вреди напоменути да је планирано да API за помоћнике буде укинут у августу 2026. године и да ће га заменити Responses API, што може утицати на то како слични вектори злоупотребе функционишу у будућности.

Храна за понети

SesameOp је значајан јер пренамењује крајњу тачку за интеграцију вештачке интелигенције у тајни C2 канал, комбинујући .NET AppDomainManager инјекцију, замаскиране DLL-ове, компромитоване алате за развој и интерне веб шкољке како би се постигла трајна, тешко откривајућа контрола. Кампања истиче потребу да браниоци прате необично понашање алата за програмере, аномалијску употребу cloud API-ја са интерних хостова и знаке DLL инјекције или манипулације током извршавања у .NET окружењима.

У тренду

Тропицал Ектенсион

Потенцијално нежељени програми, Отмичари претраживача
Тропицал Ектенсион је део сумњивог софтвера који је био под лупом стручњака за сајбер безбедност током њихове истраге сумњивих веб локација. У почетку, то је корисно проширење које корисницима нуди...

Превара кршења безбедности новчаника поверења

Рогуе Вебситес
Како се онлајн преваре стално развијају, корисници морају остати опрезни приликом навигације интернетом, посебно када рукују дигиталном имовином. Сајбер криминалци стално стварају убедљиве реплике...

Најгледанији

Злонамерних програма

Пецање, Спам
32,906
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...