SesameOp: новый бэкдор использует OpenAI Assistants API как C2-канал
Оригинал: SesameOp: Novel backdoor uses OpenAI Assistants API for command and control
Команда Microsoft Incident Response - Detection and Response Team (DART) расследовала компрометацию системы, в которой злоумышленник использовал SesameOp, бэкдор-имплант, злоупотребляющий OpenAI Assistants API для организации скрытого C2-канала в целях шпионажа. Вредоносное ПО SesameOp использовало OpenAI API, чтобы получать и выполнять команды злоумышленника, а также эксфильтровать зашифрованные результаты из системы жертвы.
Злоумышленник сохранял присутствие в скомпрометированной системе в течение нескольких месяцев. Он контролировал несколько внутренних веб-шеллов, которые выполняли команды вредоносных процессов, использовавших скомпрометированные утилиты Visual Studio. Расследование других утилит Visual Studio привело к обнаружению нового бэкдора SesameOp.
Процедура
- AML.TA0014 Командование и управление
AML.T0096 API ИИ-сервиса
Злоумышленник использовал OpenAI Assistants API как канал передачи команд вредоносному ПО SesameOp. SesameOp выполнял эти команды в системе жертвы и отправлял результаты обратно злоумышленнику по тому же каналу. Команды и результаты передавались в зашифрованном виде.
Чтобы скрыть следы, SesameOp удалял объекты Assistants и Messages, которые создавал и использовал для связи.