Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Cửa sau SesameOp

Cửa sau SesameOp

Đến năm Mezo năm Phần mềm độc hại, Cửa sau
Dịch sang:

Các nhà nghiên cứu đã phát hiện ra một backdoor mới, được theo dõi với tên gọi SesameOp, tận dụng API Trợ lý OpenAI như một kênh Chỉ huy và Kiểm soát (C2) phi truyền thống. Thay vì sử dụng cơ sở hạ tầng mạng thông thường hoặc máy chủ C2 được thiết kế riêng, phần mềm độc hại này lạm dụng API Trợ lý như một cơ chế chuyển tiếp và lưu trữ bí mật để truy xuất các lệnh được mã hóa và trả về kết quả thực thi, cho phép kẻ tấn công trộn lẫn lưu lượng độc hại với các yêu cầu API hợp pháp.

Nó được tìm thấy như thế nào

Phần mềm cấy ghép được phát hiện vào tháng 7 năm 2025 trong quá trình điều tra một vụ xâm nhập tinh vi, nơi những kẻ tấn công không rõ danh tính đã duy trì hoạt động trong nhiều tháng. Các nhà nghiên cứu không công bố danh tính của tổ chức bị ảnh hưởng. Phân tích tiếp theo cho thấy đây là một vụ xâm nhập nhiều lớp với các cơ chế tồn tại dai dẳng và các thành phần ẩn bên trong môi trường, cùng nhau hỗ trợ truy cập lâu dài — hành vi phù hợp với mục tiêu gián điệp.

Kiến trúc kỹ thuật

Chuỗi lây nhiễm của SesameOp bao gồm một DLL tải có tên Netapi64.dll và một thành phần cửa hậu .NET có tên OpenAIAgent.Netapi64. Các đặc điểm kỹ thuật chính:

  • DLL được che giấu kỹ lưỡng bằng Eazfuscator.NET và được thiết kế để ẩn và tồn tại lâu dài.
  • Khi chạy, trình tải được đưa vào tiến trình máy chủ thông qua thao tác .NET AppDomainManager, được kích hoạt bởi tệp .config được tạo thủ công ghép nối với tệp thực thi máy chủ hợp lệ.

Những kẻ tấn công cũng xâm phạm các tiện ích Microsoft Visual Studio bằng cách chèn các thư viện độc hại, sử dụng kỹ thuật tiêm AppDomainManager để đảm bảo tính bền bỉ và thực thi mã từ các chuỗi công cụ có vẻ hợp pháp.

Dụng cụ nội bộ

Các nhà điều tra mô tả một "sự sắp xếp phức tạp" các web shell nội bộ được liên kết với các quy trình độc hại dai dẳng, được bố trí chiến lược. Các quy trình này hoạt động như những người điều phối cục bộ, thực thi các lệnh được chuyển tiếp qua API Trợ lý và chuyển giao nhiệm vụ cho các thành phần được cấy ghép khác. Thiết kế kết hợp này khiến hoạt động của kẻ tấn công được đan xen với các công cụ quản trị và phát triển thông thường, khiến việc phát hiện trở nên khó khăn hơn.

API Trợ lý của OpenAI bị lạm dụng như thế nào

Cửa hậu sử dụng API Trợ lý làm nơi lưu trữ/chuyển tiếp tin nhắn. Các lệnh được lấy từ danh sách Trợ lý và được diễn giải thông qua trường mô tả; việc triển khai nhận dạng ba loại lệnh:

SLEEP — ra lệnh cho bộ phận cấy ghép tạm dừng một sợi chỉ trong một khoảng thời gian xác định.

Tải trọng — chỉ đạo tác nhân trích xuất mã hoặc hướng dẫn từ trường hướng dẫn và chạy chúng trong một luồng riêng biệt.

Kết quả — báo hiệu rằng kết quả thực thi sẽ được đăng lại cho API Trợ lý với mô tả được đặt thành 'Kết quả' để người vận hành có thể truy xuất kết quả.

Luồng hoạt động

Khi hoạt động, backdoor truy vấn API Trợ lý để lấy các lệnh được mã hóa. Nó giải mã và thực thi các payload cục bộ, sau đó gửi kết quả thực thi trở lại API dưới dạng tin nhắn. Mô hình chuyển tiếp này biến một API AI đám mây hợp pháp thành một trung gian để thực hiện các tác vụ và nhận kết quả, từ đó ngụy trang hiệu quả lưu lượng truy cập của kẻ tấn công trong các mẫu sử dụng API dự kiến.

Sự quy kết, ý định và mục tiêu chiến lược

Hiện tại, chưa có thông tin công khai nào về chiến dịch này. Việc phần mềm cấy ghép này nhấn mạnh vào tính bền bỉ, khả năng kiểm soát bí mật và thời gian tồn tại lâu dài cho thấy rõ ràng mục tiêu của kẻ tấn công là truy cập liên tục — phù hợp với hoạt động thu thập thông tin tình báo hoặc hoạt động gián điệp kéo dài. Vụ việc cũng cho thấy một xu hướng rộng hơn: lạm dụng các dịch vụ đám mây hợp pháp, được sử dụng rộng rãi để tránh bị phát hiện và làm phức tạp quá trình ứng phó sự cố.

Điều đáng chú ý là API Trợ lý dự kiến sẽ ngừng hoạt động vào tháng 8 năm 2026 và sẽ được thay thế bằng API Phản hồi, điều này có thể ảnh hưởng đến cách thức hoạt động của các vectơ lạm dụng tương tự trong tương lai.

Món mang đi

SesameOp đáng chú ý vì nó chuyển đổi một điểm cuối tích hợp AI chính thống thành một kênh C2 bí mật, kết hợp việc tiêm mã độc .NET AppDomainManager, các DLL bị che giấu, công cụ phát triển bị xâm phạm và các shell web nội bộ để đạt được khả năng kiểm soát bền vững, khó phát hiện. Chiến dịch này nhấn mạnh sự cần thiết của việc giám sát các hành vi bất thường của công cụ dành cho nhà phát triển, việc sử dụng bất thường các API đám mây từ máy chủ nội bộ và các dấu hiệu tiêm mã độc DLL hoặc thao túng thời gian chạy trong môi trường .NET.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
32,906
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...