సెసేమ్ఆప్ బ్యాక్‌డోర్

పరిశోధకులు SesameOp గా ట్రాక్ చేయబడిన ఒక కొత్త బ్యాక్‌డోర్‌ను కనుగొన్నారు, ఇది OpenAI అసిస్టెంట్స్ APIని అసాధారణ కమాండ్-అండ్-కంట్రోల్ (C2) ఛానెల్‌గా ఉపయోగిస్తుంది. సాధారణ నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్ లేదా బెస్పోక్ C2 సర్వర్‌లను ఉపయోగించకుండా, మాల్వేర్ అసిస్టెంట్స్ APIని ఒక రహస్య రిలే మరియు నిల్వ యంత్రాంగంగా దుర్వినియోగం చేస్తుంది, ఇది ఎన్‌క్రిప్టెడ్ సూచనలను తిరిగి పొందేందుకు మరియు అమలు ఫలితాలను అందించడానికి, ఆపరేటర్లు చట్టబద్ధమైన API అభ్యర్థనలతో హానికరమైన ట్రాఫిక్‌ను కలపడానికి అనుమతిస్తుంది.

ఇది ఎలా కనుగొనబడింది

జూలై 2025లో తెలియని దాడి చేసేవారు అనేక నెలలుగా స్థావరాలను కొనసాగించిన అధునాతన చొరబాటు దర్యాప్తులో ఈ ఇంప్లాంట్ గుర్తించబడింది. ప్రభావిత సంస్థ యొక్క గుర్తింపును పరిశోధకులు ప్రచురించలేదు. తదుపరి విశ్లేషణలో దీర్ఘకాలిక యాక్సెస్ - గూఢచర్య లక్ష్యాలకు అనుగుణంగా ప్రవర్తన - సమిష్టిగా మద్దతు ఇచ్చే నిలకడ యంత్రాంగాలు మరియు ఇన్-ఎన్విరాన్‌మెంట్ భాగాలతో బహుళ-లేయర్డ్ చొరబాటు వెల్లడైంది.

సాంకేతిక నిర్మాణం

SesameOp యొక్క ఇన్ఫెక్షన్ గొలుసులో Netapi64.dll అనే లోడర్ DLL మరియు OpenAIAgent.Netapi64 అని లేబుల్ చేయబడిన .NET బ్యాక్‌డోర్ భాగం ఉన్నాయి. కీలక సాంకేతిక లక్షణాలు:

• DLL Eazfuscator.NET తో బాగా అస్పష్టంగా ఉంది మరియు రహస్యంగా మరియు నిలకడగా ఉండటానికి రూపొందించబడింది.
• రన్‌టైమ్‌లో, లోడర్ .NET AppDomainManager మానిప్యులేషన్ ద్వారా హోస్ట్ ప్రాసెస్‌లోకి ఇంజెక్ట్ చేయబడుతుంది, ఇది చట్టబద్ధమైన హోస్ట్ ఎక్జిక్యూటబుల్‌తో జత చేయబడిన రూపొందించబడిన .config ఫైల్ ద్వారా ప్రేరేపించబడుతుంది.

దాడి చేసేవారు హానికరమైన లైబ్రరీలను చొప్పించడం ద్వారా మైక్రోసాఫ్ట్ విజువల్ స్టూడియో యుటిలిటీలను కూడా రాజీ పడ్డారు, చట్టబద్ధమైన టూల్‌చైన్‌ల నుండి నిలకడ మరియు కోడ్ అమలును నిర్ధారించడానికి AppDomainManager ఇంజెక్షన్ టెక్నిక్‌ను ఉపయోగించారు.

అంతర్గత సాధనసంపత్తి

పరిశోధకులు నిరంతర, వ్యూహాత్మకంగా ఉంచబడిన హానికరమైన ప్రక్రియలతో ముడిపడి ఉన్న అంతర్గత వెబ్ షెల్‌ల 'సంక్లిష్ట అమరిక'ను వివరించారు. ఆ ప్రక్రియలు స్థానిక ఆర్కెస్ట్రాటర్‌లుగా పనిచేస్తాయి, అసిస్టెంట్స్ API ద్వారా ప్రసారం చేయబడిన ఆదేశాలను అమలు చేస్తాయి మరియు ఇతర అమర్చిన భాగాలకు పనులను అప్పగిస్తాయి. మిశ్రమ రూపకల్పన శత్రువు యొక్క కార్యకలాపాలను సాధారణ డెవలపర్ మరియు పరిపాలనా సాధనాలతో ముడిపడి ఉంచింది, ఇది గుర్తింపును మరింత కష్టతరం చేసింది.

OpenAI అసిస్టెంట్ల API ఎలా దుర్వినియోగం చేయబడుతుంది

బ్యాక్‌డోర్ అసిస్టెంట్ల API ని సందేశ నిల్వ/రిలేగా ఉపయోగిస్తుంది. ఆదేశాలు అసిస్టెంట్ల జాబితా నుండి పొందబడతాయి మరియు వివరణ ఫీల్డ్ ద్వారా వివరించబడతాయి; అమలు మూడు సూచన రకాలను గుర్తిస్తుంది:

SLEEP — ఇంప్లాంట్‌ను ఒక నిర్దిష్ట విరామం కోసం థ్రెడ్‌ను పాజ్ చేయమని నిర్దేశిస్తుంది.

పేలోడ్ — సూచనల ఫీల్డ్ నుండి కోడ్ లేదా సూచనలను సంగ్రహించి, వాటిని ప్రత్యేక థ్రెడ్‌లో అమలు చేయమని ఏజెంట్‌ను నిర్దేశిస్తుంది.

ఫలితం — అమలు అవుట్‌పుట్‌ను 'ఫలితం'కి సెట్ చేసిన వివరణతో అసిస్టెంట్ల APIకి తిరిగి పోస్ట్ చేయాలని సంకేతాలు ఇస్తుంది, తద్వారా ఆపరేటర్ ఫలితాన్ని తిరిగి పొందవచ్చు.

ఆపరేషనల్ ఫ్లో

యాక్టివ్‌గా ఉన్నప్పుడు, బ్యాక్‌డోర్ అసిస్టెంట్స్ APIని ఎన్‌క్రిప్ట్ చేసిన ఆదేశాలను తిరిగి పొందడానికి ప్రశ్నిస్తుంది. ఇది పేలోడ్‌లను స్థానికంగా డీకోడ్ చేసి అమలు చేస్తుంది మరియు అమలు ఫలితాలను సందేశాలుగా APIకి తిరిగి పోస్ట్ చేస్తుంది. ఈ రిలే మోడల్ చట్టబద్ధమైన క్లౌడ్ AI APIని టాస్క్‌లను జారీ చేయడానికి మరియు అవుట్‌పుట్‌లను స్వీకరించడానికి మధ్యవర్తిగా మారుస్తుంది, అంచనా వేసిన API వినియోగ నమూనాలలో దాడి చేసేవారి ట్రాఫిక్‌ను సమర్థవంతంగా మభ్యపెడుతుంది.

లక్షణం, ఉద్దేశం మరియు వ్యూహాత్మక లక్ష్యాలు

ప్రస్తుతం, ఈ ప్రచారానికి ఎటువంటి ప్రజా ఆపాదింపు లేదు. పట్టుదల, రహస్య నియంత్రణ మరియు ఎక్కువసేపు నివసించే సమయంపై ఇంప్లాంట్ యొక్క ప్రాధాన్యత, దాడి చేసేవారు నిరంతర ప్రాప్యత కోసం లక్ష్యంగా పెట్టుకున్నారని బలంగా సూచిస్తుంది - నిఘా సేకరణ లేదా దీర్ఘకాలిక గూఢచర్య కార్యకలాపాలకు అనుగుణంగా. ఈ కేసు విస్తృత ధోరణిని కూడా ప్రదర్శిస్తుంది: గుర్తింపును తప్పించుకోవడానికి మరియు సంఘటన ప్రతిస్పందనను క్లిష్టతరం చేయడానికి విస్తృతంగా ఉపయోగించే, చట్టబద్ధమైన క్లౌడ్ సేవలను దుర్వినియోగం చేయడం.

గమనించదగ్గ విషయం ఏమిటంటే, అసిస్టెంట్స్ API ఆగస్టు 2026లో నిలిపివేయబడటానికి షెడ్యూల్ చేయబడింది మరియు ప్రతిస్పందనల API ద్వారా భర్తీ చేయబడుతుంది, ఇది భవిష్యత్తులో ఇలాంటి దుర్వినియోగ వెక్టర్‌లు ఎలా పనిచేస్తాయో ప్రభావితం చేయవచ్చు.

టేకావేలు

SesameOp అనేది ఒక ప్రధాన స్రవంతి AI ఇంటిగ్రేషన్ ఎండ్‌పాయింట్‌ను రహస్య C2 ఛానెల్‌గా పునర్నిర్మించడం ద్వారా గుర్తించదగినది, ఇది .NET AppDomainManager ఇంజెక్షన్, అస్పష్టమైన DLLలు, రాజీపడిన డెవలప్‌మెంట్ టూలింగ్ మరియు అంతర్గత వెబ్ షెల్‌లను కలిపి మన్నికైన, గుర్తించదగిన నియంత్రణను సాధిస్తుంది. అసాధారణ డెవలపర్-టూల్ ప్రవర్తనను పర్యవేక్షించడానికి డిఫెండర్ల అవసరాన్ని, అంతర్గత హోస్ట్‌ల నుండి క్లౌడ్ APIల అసాధారణ వినియోగం మరియు .NET పరిసరాలలో DLL ఇంజెక్షన్ లేదా రన్‌టైమ్ మానిప్యులేషన్ సంకేతాలను ఈ ప్రచారం హైలైట్ చేస్తుంది.