Microsoft обнаружила бэкдор «SesameOp», используя API OpenAI в качестве скрытого канала управления
Microsoft раскрыла подробности о новом бэкдоре, получившем название SesameOp, который использует API OpenAI Assistants для связи с командным центром (C2).
«Вместо того, чтобы полагаться на более традиционные методы, злоумышленник, стоящий за этим бэкдором, использует OpenAI в качестве канала C2 для скрытого взаимодействия и организации вредоносных действий в скомпрометированной среде», — говорится в техническом отчёте, опубликованном в понедельник, группы обнаружения и реагирования (DART) службы реагирования на инциденты Microsoft.
«Для этого компонент бэкдора использует API OpenAI Assistants в качестве механизма хранения или ретрансляции для получения команд, которые затем выполняет вредоносное ПО»
Технологический гигант заявил, что обнаружил имплант в июле 2025 года в рамках сложного инцидента безопасности, в ходе которого неизвестным злоумышленникам удалось сохранять присутствие в целевой среде в течение нескольких месяцев. Имя пострадавшей жертвы не было названо.
Дальнейшее расследование инцидента привело к обнаружению так называемой «сложной структуры» внутренних веб-оболочек, предназначенных для выполнения команд, передаваемых «постоянно действующими, стратегически размещёнными» вредоносными процессами. Эти процессы, в свою очередь, используют утилиты Microsoft Visual Studio, скомпрометированные вредоносными библиотеками. Этот подход называется внедрением AppDomainManager.
SesameOp — это специальный бэкдор, разработанный для обеспечения устойчивости и позволяющий злоумышленнику скрытно управлять скомпрометированными устройствами. Это указывает на то, что главной целью атаки было обеспечение долгосрочного доступа для шпионажа.
По данным Microsoft, цепочка заражения включает в себя компонент-загрузчик (Netapi64.dll) и бэкдор на базе .NET (OpenAIAgent.Netapi64), который использует API OpenAI в качестве канала управления (C2) для получения зашифрованных команд, которые затем декодируются и выполняются локально.
В настоящее время неясно, кто стоит за этим вредоносным ПО, но его разработка демонстрирует продолжающееся злоупотребление легитимными инструментами в вредоносных целях, позволяющее им слиться с обычной сетевой активностью и обойти систему обнаружения. Microsoft заявила, что поделилась своими результатами с OpenAI, которая выявила и заблокировала ключ API и связанную с ним учётную запись, предположительно использовавшиеся злоумышленником.
Microsoft раскрыла подробности о новом бэкдоре, получившем название SesameOp, который использует API OpenAI Assistants для связи с командным центром (C2).
«Вместо того, чтобы полагаться на более традиционные методы, злоумышленник, стоящий за этим бэкдором, использует OpenAI в качестве канала C2 для скрытого взаимодействия и организации вредоносных действий в скомпрометированной среде», — говорится в техническом отчёте, опубликованном в понедельник, группы обнаружения и реагирования (DART) службы реагирования на инциденты Microsoft.
«Для этого компонент бэкдора использует API OpenAI Assistants в качестве механизма хранения или ретрансляции для получения команд, которые затем выполняет вредоносное ПО»
Технологический гигант заявил, что обнаружил имплант в июле 2025 года в рамках сложного инцидента безопасности, в ходе которого неизвестным злоумышленникам удалось сохранять присутствие в целевой среде в течение нескольких месяцев. Имя пострадавшей жертвы не было названо.
Дальнейшее расследование инцидента привело к обнаружению так называемой «сложной структуры» внутренних веб-оболочек, предназначенных для выполнения команд, передаваемых «постоянно действующими, стратегически размещёнными» вредоносными процессами. Эти процессы, в свою очередь, используют утилиты Microsoft Visual Studio, скомпрометированные вредоносными библиотеками. Этот подход называется внедрением AppDomainManager.
SesameOp — это специальный бэкдор, разработанный для обеспечения устойчивости и позволяющий злоумышленнику скрытно управлять скомпрометированными устройствами. Это указывает на то, что главной целью атаки было обеспечение долгосрочного доступа для шпионажа.
По данным Microsoft, цепочка заражения включает в себя компонент-загрузчик (Netapi64.dll) и бэкдор на базе .NET (OpenAIAgent.Netapi64), который использует API OpenAI в качестве канала управления (C2) для получения зашифрованных команд, которые затем декодируются и выполняются локально.
В настоящее время неясно, кто стоит за этим вредоносным ПО, но его разработка демонстрирует продолжающееся злоупотребление легитимными инструментами в вредоносных целях, позволяющее им слиться с обычной сетевой активностью и обойти систему обнаружения. Microsoft заявила, что поделилась своими результатами с OpenAI, которая выявила и заблокировала ключ API и связанную с ним учётную запись, предположительно использовавшиеся злоумышленником.
❤11👍6🔥4
Forwarded from Hacker Lab
——————————————
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤7👍6🎉1