- Автор темы
- #1
Специалисты компании Microsoft обнаружили новый бэкдор SesameOp, который использует API OpenAI Assistants в качестве скрытого канала связи со своими управляющими серверами.
Эксперты Microsoft Detection and Response Team (DART) заметили новую угрозу еще в июле 2025 года во время расследования кибератаки: операторы малвари удаленно управляли зараженными устройствами несколько месяцев, при этом оставаясь незамеченными.
Вместо обычной C2-инфраструктуры, которую можно обнаружить и заблокировать, атакующие использовали легальный облачный сервис OpenAI. Бэкдор эксплуатирует Assistants API, используя его в качестве механизма хранения и ретрансляции команд: вредонос получает сжатые и зашифрованные инструкции посредством API, расшифровывает их и выполняет в зараженных системах.
Собранная на устройствах жертв информация шифруется при помощи симметричного и асимметричного шифрования и отправляется обратно, через тот же API.
Бэкдор SesameOp закрепляется в системе через внутренние веб-шеллы и вредоносные процессы, предназначенные для долгосрочных шпионских операций. Отмечается, что скрытная природа малвари полностью соответствует целям атакующих — долгосрочное присутствие в сети с целью кибершпионажа.
Подчеркивается, что SesameOp не эксплуатирует какие-либо уязвимости или неправильные конфигурации. Вместо этого малварь злоупотребляет штатными возможностями Assistants API.
Специалисты Microsoft и OpenAI провели совместное расследование, в результате которого аккаунт и API-ключ атакующих были идентифицированы и отключены. Также сообщается, что эксперты заблокировали инфраструктуру, задействованную в этой вредоносной кампании.
Эксперты Microsoft Detection and Response Team (DART) заметили новую угрозу еще в июле 2025 года во время расследования кибератаки: операторы малвари удаленно управляли зараженными устройствами несколько месяцев, при этом оставаясь незамеченными.
Вместо обычной C2-инфраструктуры, которую можно обнаружить и заблокировать, атакующие использовали легальный облачный сервис OpenAI. Бэкдор эксплуатирует Assistants API, используя его в качестве механизма хранения и ретрансляции команд: вредонос получает сжатые и зашифрованные инструкции посредством API, расшифровывает их и выполняет в зараженных системах.
Собранная на устройствах жертв информация шифруется при помощи симметричного и асимметричного шифрования и отправляется обратно, через тот же API.
По информации исследователей, цепочка атаки включала сильно обфусцированный загрузчик и .NET-бэкдор. Малварь разворачивалась в системах жертв через инъекцию .NET AppDomainManager, затрагивавшую несколько утилит Microsoft Visual Studio.
Бэкдор SesameOp закрепляется в системе через внутренние веб-шеллы и вредоносные процессы, предназначенные для долгосрочных шпионских операций. Отмечается, что скрытная природа малвари полностью соответствует целям атакующих — долгосрочное присутствие в сети с целью кибершпионажа.
Подчеркивается, что SesameOp не эксплуатирует какие-либо уязвимости или неправильные конфигурации. Вместо этого малварь злоупотребляет штатными возможностями Assistants API.
Специалисты Microsoft и OpenAI провели совместное расследование, в результате которого аккаунт и API-ключ атакующих были идентифицированы и отключены. Также сообщается, что эксперты заблокировали инфраструктуру, задействованную в этой вредоносной кампании.