SesameOp: новый бэкдор использует OpenAI Assistants API как C2-канал

Оригинал: SesameOp: Novel backdoor uses OpenAI Assistants API for command and control

Команда Microsoft Incident Response - Detection and Response Team (DART) расследовала компрометацию системы, в которой злоумышленник использовал SesameOp, бэкдор-имплант, злоупотребляющий OpenAI Assistants API для организации скрытого C2-канала в целях шпионажа. Вредоносное ПО SesameOp использовало OpenAI API, чтобы получать и выполнять команды злоумышленника, а также эксфильтровать зашифрованные результаты из системы жертвы.

Злоумышленник сохранял присутствие в скомпрометированной системе в течение нескольких месяцев. Он контролировал несколько внутренних веб-шеллов, которые выполняли команды вредоносных процессов, использовавших скомпрометированные утилиты Visual Studio. Расследование других утилит Visual Studio привело к обнаружению нового бэкдора SesameOp.

Процедура

  1. AML.TA0014 Командование и управление

    AML.T0096 API ИИ-сервиса

    Злоумышленник использовал OpenAI Assistants API как канал передачи команд вредоносному ПО SesameOp. SesameOp выполнял эти команды в системе жертвы и отправлял результаты обратно злоумышленнику по тому же каналу. Команды и результаты передавались в зашифрованном виде.

    Чтобы скрыть следы, SesameOp удалял объекты Assistants и Messages, которые создавал и использовал для связи.

Источники

  1. SesameOp: Novel backdoor uses OpenAI Assistants API for command and control