複数ライセンス割引見積
脅威データベース マルウェア SesameOp バックドア

SesameOp バックドア

マルウェア, バックドアMezoまで
翻訳内容:

研究者らは、OpenAI Assistants APIを非従来型のコマンドアンドコントロール(C2)チャネルとして利用する、SesameOpと呼ばれる新たなバックドアを発見しました。このマルウェアは、一般的なネットワークインフラストラクチャや特注のC2サーバーを使用するのではなく、Assistants APIをステルス性の高い中継・保存メカニズムとして悪用し、暗号化された命令を取得して実行結果を返します。これにより、攻撃者は悪意のあるトラフィックを正当なAPIリクエストに混在させることができます。

発見の経緯

このインプラントは、2025年7月に、未知の攻撃者が数ヶ月にわたって拠点を維持していた高度な侵入の調査中に特定されました。研究者は、影響を受けた組織の身元を公表していません。その後の分析により、永続化メカニズムと環境内コンポーネントを備えた多層的な侵入が明らかになり、それらが総合的に長期的なアクセスをサポートしていました。これは、スパイ活動の目的に合致する行動です。

技術アーキテクチャ

SesameOpの感染チェーンには、Netapi64.dllというローダーDLLと、OpenAIAgent.Netapi64という.NETバックドアコンポーネントが含まれています。主な技術的特徴:

  • DLL は Eazfuscator.NET によって高度に難読化されており、ステルス性と永続性を実現するように設計されています。
  • 実行時に、ローダーは、正当なホスト実行可能ファイルとペアになっている細工された .config ファイルによってトリガーされ、.NET AppDomainManager 操作を介してホスト プロセスに挿入されます。

攻撃者はまた、AppDomainManager インジェクション手法を使用して悪意のあるライブラリを挿入し、一見正当なツールチェーンからの永続性とコード実行を確保することで、Microsoft Visual Studio ユーティリティを侵害しました。

内部ツール

捜査官らは、戦略的に配置された永続的な悪意あるプロセスに結び付けられた内部ウェブシェルの「複雑な配置」について説明しました。これらのプロセスはローカルオーケストレーターとして機能し、アシスタントAPIを介して中継されたコマンドを実行し、埋め込まれた他のコンポーネントにタスクを引き渡します。この複合的な設計により、攻撃者の活動は通常の開発ツールや管理ツールと混在し、検出が困難になっています。

OpenAIのアシスタントAPIがどのように悪用されるか

バックドアは、アシスタントAPIをメッセージの保存/中継手段として使用します。コマンドはアシスタントリストから取得され、説明フィールドを介して解釈されます。実装では、以下の3種類の命令が認識されます。

SLEEP — 指定された間隔でスレッドを一時停止するようにインプラントに指示します。

ペイロード- エージェントに、命令フィールドからコードまたは命令を抽出し、別のスレッドで実行するように指示します。

結果- オペレーターが結果を取得できるように、実行出力を「結果」に設定した説明でアシスタント API にポストバックする必要があることを通知します。

業務フロー

バックドアがアクティブになると、アシスタントAPIにクエリを送信して暗号化されたコマンドを取得します。ペイロードをローカルでデコードして実行し、実行結果をメッセージとしてAPIに返します。このリレーモデルは、正規のクラウドAI APIをタスクの発行と出力の受信のための仲介役として利用することで、攻撃者のトラフィックを想定されるAPI利用パターン内に効果的に隠蔽します。

帰属、意図、戦略目標

現時点では、この攻撃の犯人は公表されていません。このマルウェアが永続性、隠密制御、そして長時間の滞留を重視していることから、攻撃者は継続的なアクセスを狙っていたことが強く示唆されます。これは、情報収集や長期的なスパイ活動と一致するものです。また、この事例は、広く利用されている正規のクラウドサービスを悪用して検知を回避し、インシデント対応を複雑化するという、より広範な傾向を示唆しています。

注目すべきは、アシスタント API は 2026 年 8 月に廃止される予定であり、レスポンス API に置き換えられる予定であるため、将来的に同様の不正行為ベクトルの動作に影響を及ぼす可能性があるということです。

まとめ

SesameOpは、主流のAI統合エンドポイントを秘密のC2チャネルに転用し、.NET AppDomainManagerインジェクション、難読化されたDLL、侵害された開発ツール、内部Webシェルを組み合わせることで、永続的で検出困難な制御を実現するという点で注目に値します。このキャンペーンは、防御側が開発ツールの異常な動作、内部ホストからのクラウドAPIの異常な使用、そして.NET環境におけるDLLインジェクションやランタイム操作の兆候を監視する必要性を浮き彫りにしています。

トレンド

トロピカルエクステンション

望ましくない可能性のあるプログラム, ブラウザハイジャッカー
Tropical Extension は、疑わしい Web サイトの調査中にサイバーセキュリティ専門家による精査の対象となった疑わしいソフトウェアです。当初は、これは便利な拡張機能であり、トロピカルをテーマにしたブラウザの壁紙を持つ魅力をユーザーに提供します。しかし、セキュリティ専門家による詳細な調査により、Tropical Extension が実際にはブラウザ ハイジャッカーであることが...

Unsfeths.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
サイバー犯罪者は、ユーザーを操り、ブラウザの機能を悪用する新たな手法を常に開発しています。こうした欺瞞的な戦術の一つとして、偽の確認プロンプトや誤解を招くプッシュ通知などが挙げられます。Unsfeths.comと呼ばれる不正サイトは、この増加傾向を象徴するものであり、ユーザーが見慣れないページや疑わしいページを閲覧する際には、常に注意を払う必要があることを警告しています。 Unsfeths....

Trust Walletのセキュリティ侵害詐欺

不正なウェブサイト
オンライン詐欺は進化を続けているため、ユーザーはインターネットを利用する際、特にデジタル資産を扱う際には常に警戒を怠ってはなりません。サイバー犯罪者は、正規のプラットフォームを模倣した偽物を絶えず作成し、疑いを持たない被害者を騙そうとしています。その一例が、有名な暗号資産サービスに対するユーザーの信頼を悪用した「Trust Walletセキュリティ侵害詐欺」です。 Trust Walletを...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
51,991
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
40,213
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
38,133
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...