SesameOp Arka Kapısı

Mezo'de Kötü amaçlı yazılım, Arka kapılar'de

Çevir:

Araştırmacılar, SesameOp olarak adlandırılan ve OpenAI Assistants API'sini alışılmadık bir Komuta ve Kontrol (C2) kanalı olarak kullanan yeni bir arka kapı keşfettiler. Kötü amaçlı yazılım, tipik ağ altyapısını veya özel C2 sunucularını kullanmak yerine, Assistants API'sini gizli bir aktarım ve depolama mekanizması olarak kullanarak şifreli talimatları alıp yürütme sonuçlarını döndürüyor ve operatörlerin kötü amaçlı trafiği meşru API istekleriyle harmanlamasına olanak tanıyor.

İçindekiler

Nasıl Bulundu

İmplant, Temmuz 2025'te, bilinmeyen saldırganların aylarca varlığını sürdürdüğü karmaşık bir saldırının araştırılması sırasında tespit edildi. Araştırmacılar, etkilenen kuruluşun kimliğini açıklamadı. Takip analizi, uzun vadeli erişimi destekleyen kalıcılık mekanizmaları ve ortam içi bileşenlere sahip çok katmanlı bir saldırıyı ortaya çıkardı; bu davranış, casusluk hedefleriyle tutarlıydı.

Teknik Mimarlık

SesameOp'un enfeksiyon zinciri, Netapi64.dll adlı bir yükleyici DLL ve OpenAIAgent.Netapi64 adlı bir .NET arka kapı bileşenini içerir. Temel teknik özellikler:

DLL, Eazfuscator.NET ile yoğun bir şekilde gizlenmiş ve gizlilik ve kalıcılık için tasarlanmıştır.
Çalışma zamanında, yükleyici, meşru ana bilgisayar yürütülebilir dosyasıyla eşleştirilmiş hazırlanmış bir .config dosyası tarafından tetiklenen .NET AppDomainManager manipülasyonu yoluyla ana bilgisayar işlemine enjekte edilir.

Saldırganlar ayrıca kötü amaçlı kütüphaneler ekleyerek Microsoft Visual Studio yardımcı programlarını da tehlikeye attılar ve görünüşte meşru araç zincirlerinden kalıcılığı ve kod yürütülmesini sağlamak için bir AppDomainManager enjeksiyon tekniği kullandılar.

Dahili Takımlar

Araştırmacılar, kalıcı ve stratejik olarak yerleştirilmiş kötü amaçlı süreçlere bağlı dahili web kabuklarının 'karmaşık bir düzenlemesini' tanımladılar. Bu süreçler, yerel düzenleyiciler olarak hareket ederek, Yardımcılar API'si aracılığıyla iletilen komutları yürütüyor ve görevleri diğer yerleşik bileşenlere devrediyor. Bu birleşik tasarım, saldırganın etkinliğini normal geliştirici ve yönetim araçlarıyla iç içe tutarak tespiti daha da zorlaştırıyordu.

OpenAI’nin Asistan API’si Nasıl Kötüye Kullanılıyor?

Arka kapı, Yardımcılar API'sini bir mesaj deposu/aktarma aracı olarak kullanır. Komutlar Yardımcılar listesinden alınır ve açıklama alanı aracılığıyla yorumlanır; uygulama üç talimat türünü tanır:

UYKU — implantın belirli bir süre boyunca bir ipliği duraklatmasını söyler.

Yük — aracının talimatlar alanından kodu veya talimatları çıkarmasını ve bunları ayrı bir iş parçacığında çalıştırmasını sağlar.

Sonuç — yürütme çıktısının, 'Sonuç' olarak ayarlanan açıklamayla Yardımcılar API'sine geri gönderilmesi gerektiğini belirtir, böylece operatör sonucu alabilir.

Operasyonel Akış

Arka kapı etkinleştiğinde, şifrelenmiş komutları almak için Yardımcılar API'sini sorgular. Yükleri yerel olarak çözer ve yürütür, ardından yürütme sonuçlarını API'ye mesaj olarak gönderir. Bu aktarım modeli, meşru bir bulut yapay zeka API'sini, görevleri yayınlamak ve çıktıları almak için bir aracıya dönüştürerek, saldırgan trafiğini beklenen API kullanım kalıpları içinde etkili bir şekilde gizler.

Atıf, Niyet ve Stratejik Hedefler

Şu anda, kampanyaya dair kamuoyuna açık bir atıf bulunmuyor. İmplantın kalıcılık, gizli kontrol ve uzun süreli bekleme süresine yaptığı vurgu, saldırganların istihbarat toplama veya uzun süreli casusluk faaliyetleriyle tutarlı olarak sürekli erişim hedeflediklerini güçlü bir şekilde gösteriyor. Vaka ayrıca daha geniş bir eğilimi de ortaya koyuyor: Tespit edilmekten kaçınmak ve olaylara müdahaleyi zorlaştırmak için yaygın olarak kullanılan, meşru bulut hizmetlerinin kötüye kullanılması.

Yardımcılar API'sinin Ağustos 2026'da kullanımdan kaldırılacağını ve yerini Yanıtlar API'sinin alacağını belirtmekte fayda var; bu durum gelecekte benzer kötüye kullanım vektörlerinin nasıl çalışacağını etkileyebilir.

Paket servisler

SesameOp, ana akım bir yapay zeka entegrasyon uç noktasını gizli bir C2 kanalına dönüştürerek, .NET AppDomainManager enjeksiyonunu, gizlenmiş DLL'leri, tehlikeye atılmış geliştirme araçlarını ve dahili web kabuklarını birleştirerek kalıcı ve tespit edilmesi zor bir kontrol sağlamasıyla dikkat çekiyor. Kampanya, savunmacıların alışılmadık geliştirici aracı davranışlarını, dahili ana bilgisayarlardan gelen bulut API'lerinin anormal kullanımını ve .NET ortamlarında DLL enjeksiyonu veya çalışma zamanı manipülasyonu belirtilerini izlemeleri gerektiğini vurguluyor.

EnigmaSoft'un Ödeme İşlemcisi Digital River GmbH'nin İflas Başvurusunda Bulunması SpyHunter Müşterilerinin Kötü Amaçlı Yazılımlara Karşı Korumasını Etkilemiyor

Ara

Bölge değiştir

SesameOp Arka Kapısı

Nasıl Bulundu

Teknik Mimarlık

Dahili Takımlar

OpenAI’nin Asistan API’si Nasıl Kötüye Kullanılıyor?

Operasyonel Akış

Atıf, Niyet ve Stratejik Hedefler

Paket servisler

Yorum Gönder

trend

Tropikal Uzantı

Unsfeths.com

Trust Wallet Güvenlik İhlali Dolandırıcılığı

En çok görüntülenen

'Yazıcı Sürücüsü Kullanılamıyor' Hatası Nasıl Onarılır

Discord Gri Ekranda Takılıyor

Discord Ekranı Paylaşırken Siyah Ekran Görüyor