Multi-License Discount Quote
Banta sa Database Malware SesameOp Backdoor

SesameOp Backdoor

Sa pamamagitan ng Mezo sa Malware, Mga backdoor
Isalin To:

Natuklasan ng mga mananaliksik ang isang nobelang backdoor, na sinusubaybayan bilang SesameOp, na gumagamit ng OpenAI Assistants API bilang isang hindi kinaugalian na Command-and-Control (C2) na channel. Sa halip na gumamit ng tipikal na imprastraktura ng network o mga pasadyang C2 server, inaabuso ng malware ang Assistants API bilang isang patagong relay at mekanismo ng storage para makuha ang mga naka-encrypt na tagubilin at ibalik ang mga resulta ng pagpapatupad, na nagpapahintulot sa mga operator na pagsamahin ang nakakahamak na trapiko sa mga lehitimong kahilingan sa API.

Paano Ito Natagpuan

Ang implant ay nakilala noong Hulyo 2025 sa panahon ng pagsisiyasat ng isang sopistikadong panghihimasok kung saan ang hindi kilalang mga umaatake ay nagpapanatili ng mga foothold sa loob ng ilang buwan. Hindi inilathala ng mga mananaliksik ang pagkakakilanlan ng apektadong organisasyon. Ang follow-up analysis ay nagsiwalat ng isang multi-layered na panghihimasok na may mga mekanismo ng pagtitiyaga at mga bahagi sa kapaligiran na sama-samang sumusuporta sa pangmatagalang pag-access — pag-uugali na naaayon sa mga layunin ng espiya.

Teknikal na Arkitektura

Kasama sa infection chain ng SesameOp ang isang loader DLL na pinangalanang Netapi64.dll at isang .NET backdoor component na may label na OpenAIAgent.Netapi64. Mga pangunahing teknikal na katangian:

  • Ang DLL ay labis na na-obfuscated sa Eazfuscator.NET at dinisenyo para sa stealth at pagtitiyaga.
  • Sa runtime, ini-inject ang loader sa proseso ng host sa pamamagitan ng pagmamanipula ng .NET AppDomainManager, na na-trigger ng isang ginawang .config file na ipinares sa lehitimong host na maipapatupad.

Nakompromiso din ng mga umaatake ang mga utility ng Microsoft Visual Studio sa pamamagitan ng paglalagay ng mga nakakahamak na aklatan, gamit ang isang diskarte sa pag-iniksyon ng AppDomainManager upang matiyak ang pagtitiyaga at pagpapatupad ng code mula sa tila mga lehitimong toolchain.

Panloob na Tooling

Inilarawan ng mga imbestigador ang isang 'komplikadong pag-aayos' ng mga panloob na web shell na nakatali sa patuloy at madiskarteng inilagay na mga nakakahamak na proseso. Ang mga prosesong iyon ay kumikilos bilang mga lokal na orkestra, nagsasagawa ng mga utos na ipinadala sa pamamagitan ng Assistants API at naghahatid ng mga gawain sa iba pang nakatanim na mga bahagi. Ang pinagsamang disenyo ay nagpapanatili sa aktibidad ng kalaban na magkakaugnay sa normal na developer at administrative tooling, na nagpapahirap sa pagtuklas.

Paano Inaabuso ang Assistants API ng OpenAI

Ginagamit ng backdoor ang Assistants API bilang isang message store/relay. Kinukuha ang mga command mula sa listahan ng Mga Assistant at binibigyang-kahulugan sa pamamagitan ng field ng paglalarawan; kinikilala ng pagpapatupad ang tatlong uri ng pagtuturo:

SLEEP — inutusan ang implant na i-pause ang isang thread para sa isang tinukoy na agwat.

Payload — inutusan ang ahente na kunin ang code o mga tagubilin mula sa field ng mga tagubilin at patakbuhin ang mga ito sa isang hiwalay na thread.

Resulta — senyales na ang execution output ay dapat na i-post pabalik sa Assistants API na may paglalarawang nakatakda sa 'Resulta', para makuha ng operator ang resulta.

Daloy ng Operasyon

Kapag aktibo, kine-query ng backdoor ang Assistants API para kunin ang mga naka-encrypt na command. Ito ay nagde-decode at nagpapatupad ng mga payload nang lokal at pagkatapos ay nagpo-post ng mga resulta ng pagpapatupad pabalik sa API bilang mga mensahe. Ginagawa ng modelong relay na ito ang isang lehitimong cloud AI API bilang isang tagapamagitan para sa pag-isyu ng mga gawain at pagtanggap ng mga output, na epektibong nag-camouflage ng trapiko ng attacker sa loob ng inaasahang mga pattern ng paggamit ng API.

Pagpapatungkol, Layunin, At Mga Estratehikong Layunin

Sa kasalukuyan, walang pampublikong pagpapatungkol para sa kampanya. Ang pagbibigay-diin ng implant sa pagtitiyaga, palihim na kontrol, at mahabang panahon ng tirahan ay malakas na nagmumungkahi sa mga umaatake na naglalayong magkaroon ng matagal na pag-access — naaayon sa pagkolekta ng intelligence o matagal na aktibidad ng espiya. Ang kaso ay nagpapakita rin ng mas malawak na trend: maling paggamit ng malawakang ginagamit, lehitimong mga serbisyo sa cloud upang maiwasan ang pagtuklas at gawing kumplikado ang pagtugon sa insidente.

Kapansin-pansin na ang Assistants API ay naka-iskedyul para sa paghinto sa paggamit sa Agosto 2026 at papalitan ng Responses API, na maaaring makaapekto sa kung paano gumagana ang mga katulad na vector ng pang-aabuso sa hinaharap.

Takeaways

Kapansin-pansin ang SesameOp dahil nire-repurpose nito ang isang mainstream na AI integration endpoint sa isang patagong C2 channel, na pinagsasama ang .NET AppDomainManager injection, mga obfuscated DLL, nakompromiso na tool sa pag-develop, at mga panloob na web shell upang makamit ang matibay, mahirap matukoy na kontrol. Itinatampok ng kampanya ang pangangailangan ng mga tagapagtanggol na subaybayan ang hindi pangkaraniwang pag-uugali ng developer-tool, maanomalyang paggamit ng mga cloud API mula sa mga panloob na host, at mga senyales ng DLL injection o pagmamanipula ng runtime sa mga .NET na kapaligiran.

Trending

Pinaka Nanood

Naglo-load...