SesameOp பின்னணி
ஆராய்ச்சியாளர்கள் SesameOp என கண்காணிக்கப்படும் ஒரு புதிய பின்கதவை கண்டுபிடித்துள்ளனர், இது OpenAI Assistants API ஐ வழக்கத்திற்கு மாறான கட்டளை மற்றும் கட்டுப்பாடு (C2) சேனலாகப் பயன்படுத்துகிறது. வழக்கமான நெட்வொர்க் உள்கட்டமைப்பு அல்லது தனிப்பயனாக்கப்பட்ட C2 சேவையகங்களைப் பயன்படுத்துவதற்குப் பதிலாக, தீம்பொருள் Assistants API ஐ ஒரு திருட்டுத்தனமான ரிலே மற்றும் சேமிப்பக பொறிமுறையாக துஷ்பிரயோகம் செய்து மறைகுறியாக்கப்பட்ட வழிமுறைகளை மீட்டெடுக்கவும் செயல்படுத்தல் முடிவுகளை வழங்கவும் செய்கிறது, இதனால் ஆபரேட்டர்கள் தீங்கிழைக்கும் போக்குவரத்தை முறையான API கோரிக்கைகளுடன் கலக்க அனுமதிக்கிறது.
பொருளடக்கம்
அது எப்படி கண்டுபிடிக்கப்பட்டது
ஜூலை 2025 இல், அடையாளம் தெரியாத தாக்குதல் நடத்தியவர்கள் பல மாதங்களாக காலடி எடுத்து வைத்திருந்த ஒரு அதிநவீன ஊடுருவல் குறித்த விசாரணையின் போது, இந்த உள்வைப்பு அடையாளம் காணப்பட்டது. பாதிக்கப்பட்ட அமைப்பின் அடையாளத்தை ஆராய்ச்சியாளர்கள் வெளியிடவில்லை. தொடர்ச்சியான பகுப்பாய்வு, நிலைத்தன்மை வழிமுறைகள் மற்றும் சுற்றுச்சூழல் கூறுகளுடன் கூடிய பல அடுக்கு ஊடுருவலை வெளிப்படுத்தியது, அவை நீண்டகால அணுகலை கூட்டாக ஆதரிக்கின்றன - உளவு நோக்கங்களுடன் ஒத்துப்போகும் நடத்தை.
தொழில்நுட்ப கட்டமைப்பு
SesameOp இன் தொற்று சங்கிலியில் Netapi64.dll என பெயரிடப்பட்ட ஒரு ஏற்றி DLL மற்றும் OpenAIAgent.Netapi64 என பெயரிடப்பட்ட .NET பின்புறக் கூறு ஆகியவை அடங்கும். முக்கிய தொழில்நுட்ப பண்புகள்:
- Eazfuscator.NET உடன் DLL பெரிதும் குழப்பமடைந்துள்ளது மற்றும் திருட்டுத்தனம் மற்றும் நிலைத்தன்மைக்காக வடிவமைக்கப்பட்டுள்ளது.
- இயக்க நேரத்தில், லோடர் .NET AppDomainManager கையாளுதல் மூலம் ஹோஸ்ட் செயல்பாட்டில் செலுத்தப்படுகிறது, இது முறையான ஹோஸ்ட் இயங்கக்கூடியதுடன் இணைக்கப்பட்ட வடிவமைக்கப்பட்ட .config கோப்பால் தூண்டப்படுகிறது.
தாக்குபவர்கள், AppDomainManager ஊசி நுட்பத்தைப் பயன்படுத்தி, முறையான கருவிச் சங்கிலிகளிலிருந்து நிலைத்தன்மையையும் குறியீட்டுச் செயல்பாட்டையும் உறுதிசெய்ய, தீங்கிழைக்கும் நூலகங்களைச் செருகுவதன் மூலம் Microsoft Visual Studio பயன்பாடுகளையும் சமரசம் செய்தனர்.
உள் கருவி
புலனாய்வாளர்கள், தொடர்ச்சியான, மூலோபாய ரீதியாக வைக்கப்பட்டுள்ள தீங்கிழைக்கும் செயல்முறைகளுடன் இணைக்கப்பட்ட உள் வலை ஓடுகளின் 'சிக்கலான ஏற்பாட்டை' விவரித்தனர். அந்த செயல்முறைகள் உள்ளூர் இசைக்குழுக்களாகச் செயல்படுகின்றன, அசிஸ்டண்ட்ஸ் API மூலம் அனுப்பப்படும் கட்டளைகளை செயல்படுத்துகின்றன மற்றும் பிற பொருத்தப்பட்ட கூறுகளுக்கு பணிகளை வழங்குகின்றன. ஒருங்கிணைந்த வடிவமைப்பு எதிரியின் செயல்பாட்டை சாதாரண டெவலப்பர் மற்றும் நிர்வாக கருவிகளுடன் பின்னிப்பிணைத்து வைத்திருந்தது, இதனால் கண்டறிதல் மிகவும் கடினமாக இருந்தது.
OpenAI இன் உதவியாளர்கள் API எவ்வாறு தவறாகப் பயன்படுத்தப்படுகிறது
பின்கதவு உதவியாளர்கள் API ஐ ஒரு செய்தி சேமிப்பு/ரிலேவாகப் பயன்படுத்துகிறது. கட்டளைகள் உதவியாளர்கள் பட்டியலிலிருந்து பெறப்பட்டு விளக்க புலம் வழியாக விளக்கப்படுகின்றன; செயல்படுத்தல் மூன்று வழிமுறை வகைகளை அங்கீகரிக்கிறது:
SLEEP — ஒரு குறிப்பிட்ட இடைவெளிக்கு ஒரு நூலை இடைநிறுத்துமாறு இம்பிளான்ட்டை அறிவுறுத்துகிறது.
பேலோட் — வழிமுறைகள் புலத்திலிருந்து குறியீடு அல்லது வழிமுறைகளைப் பிரித்தெடுத்து அவற்றை ஒரு தனித் திரியில் இயக்க முகவரை வழிநடத்துகிறது.
முடிவு — செயல்படுத்தல் வெளியீடு 'முடிவு' என அமைக்கப்பட்ட விளக்கத்துடன் Assistants API இல் மீண்டும் இடுகையிடப்பட வேண்டும் என்பதற்கான சமிக்ஞைகள், இதனால் ஆபரேட்டர் முடிவை மீட்டெடுக்க முடியும்.
செயல்பாட்டு ஓட்டம்
செயலில் இருக்கும்போது, மறைகுறியாக்கப்பட்ட கட்டளைகளை மீட்டெடுக்க, பின்கதவு அசிஸ்டண்ட்ஸ் API ஐ வினவுகிறது. இது உள்ளூரில் பேலோடுகளை டிகோட் செய்து செயல்படுத்துகிறது, பின்னர் செயல்படுத்தல் முடிவுகளை API க்கு செய்திகளாக இடுகையிடுகிறது. இந்த ரிலே மாதிரி, பணிகளை வழங்குவதற்கும் வெளியீடுகளைப் பெறுவதற்கும் ஒரு சட்டபூர்வமான கிளவுட் AI API ஐ ஒரு இடைத்தரகராக மாற்றுகிறது, எதிர்பார்க்கப்படும் API பயன்பாட்டு முறைகளுக்குள் தாக்குபவர் போக்குவரத்தை திறம்பட மறைக்கிறது.
பண்புக்கூறு, நோக்கம் மற்றும் மூலோபாய நோக்கங்கள்
தற்போது, இந்த பிரச்சாரத்திற்கு பொதுவில் எந்தக் காரணமும் இல்லை. நிலைத்தன்மை, ரகசியக் கட்டுப்பாடு மற்றும் நீண்ட நேரம் தங்கியிருப்பது ஆகியவை தாக்குபவர்கள் தொடர்ச்சியான அணுகலை இலக்காகக் கொண்டுள்ளனர் என்பதை வலுவாகக் குறிக்கிறது - உளவுத்துறை சேகரிப்பு அல்லது நீண்டகால உளவு நடவடிக்கைக்கு இசைவானது. இந்த வழக்கு ஒரு பரந்த போக்கையும் நிரூபிக்கிறது: கண்டறிதலைத் தவிர்க்கவும் சம்பவ பதிலை சிக்கலாக்கவும் பரவலாகப் பயன்படுத்தப்படும், முறையான கிளவுட் சேவைகளை தவறாகப் பயன்படுத்துதல்.
Assistants API ஆகஸ்ட் 2026 இல் நிறுத்தப்பட திட்டமிடப்பட்டுள்ளது, மேலும் Response API ஆல் மாற்றப்படும் என்பது குறிப்பிடத்தக்கது, இது எதிர்காலத்தில் இதேபோன்ற துஷ்பிரயோக வெக்டர்கள் செயல்படும் விதத்தைப் பாதிக்கலாம்.
எடுத்துச் செல்ல வேண்டியவை
SesameOp குறிப்பிடத்தக்கது, ஏனெனில் இது ஒரு முக்கிய AI ஒருங்கிணைப்பு முனைப்புள்ளியை ஒரு ரகசிய C2 சேனலாக மீண்டும் உருவாக்குகிறது, இது .NET AppDomainManager ஊசி, தெளிவற்ற DLLகள், சமரசம் செய்யப்பட்ட மேம்பாட்டு கருவி மற்றும் உள் வலை ஷெல்களை இணைத்து நீடித்த, கண்டறிவதற்கு கடினமான கட்டுப்பாட்டை அடைகிறது. அசாதாரண டெவலப்பர்-கருவி நடத்தை, உள் ஹோஸ்ட்களிலிருந்து கிளவுட் APIகளின் முரண்பாடான பயன்பாடு மற்றும் .NET சூழல்களில் DLL ஊசி அல்லது இயக்க நேர கையாளுதலின் அறிகுறிகளை பாதுகாவலர்கள் கண்காணிக்க வேண்டியதன் அவசியத்தை இந்த பிரச்சாரம் எடுத்துக்காட்டுகிறது.
