CopyRight©2021 520资讯网 All Right Reserved
吉ICP备2023004123号-5
11月4日消息,科技媒体bleepingcomputer于昨日(11月3日)发布博文称,微软安全研究人员发现了一款名为“SesameOp”的新型后门恶意软件,这是首次证实有此类软件滥用OpenAI的Assistants API作为其隐蔽的指挥与控制(C2)通道。
微软检测与响应团队(DART)在2025年7月开展的一次网络攻击调查工作中,首次识别出一款名为“SesameOp”的新型后门恶意软件。这款恶意软件的特别之处在于,它开创性地将OpenAI的Assistants API用作自身的指挥与控制(C2)通道。
IT之家注:Assistants API 是由 OpenAI 公司提供的一项技术接口,原本设计用于帮助开发者构建能执行任务的 AI 助手。
攻击者利用合法云服务规避传统恶意基础设施,能更隐蔽地在受害者环境中维持持久访问,还可实施长达数月的远程控制,这使得检测与响应工作的难度大幅提升。
SesameOp 的攻击方式颇具巧思。它把 OpenAI 的 Assistants API 当作存储和中转的平台,从这个 API 那里获取经过压缩与加密处理的恶意指令。当恶意软件在被感染的系统上接收到这些指令后,就会对其进行解密并加以执行。
同时,攻击过程中窃取到的信息会借助对称与非对称加密技术的组合方式进行加密处理,随后通过同一个API通道回传给攻击者,从而构建起一个完整的隐蔽通信闭环。
在攻击链的分析中,研究人员发现,攻击者最初采用了一款混淆程度极高的加载器,并借助“.NET AppDomainManager 注入”这一技术手段,把一个基于.NET框架开发的后门程序植入到微软Visual Studio的多款实用工具当中。
为达成长期潜伏的目的,此恶意软件还借助内部Web Shell与“战略性部署”的恶意进程构建持久性,其最终目标已被认定是开展长期的网络间谍活动。
微软着重指出,这次攻击并没有利用OpenAI平台的任何安全漏洞或者错误配置,而是对Assistants API的内置功能进行了滥用。在察觉到这一威胁之后,微软马上和OpenAI开展合作调查,快速识别并禁用了攻击者使用的账户以及API密钥。需要留意的是,被滥用的Assistants API已经计划在2026年8月被弃用。
为了应对SesameOp带来的威胁,微软建议企业安全团队实施一系列缓解策略。具体措施如下:一是对防火墙日志进行严格审计,密切监控发往外部服务的未授权连接;二是在所有设备上开启篡改防护功能;三是将终端检测与响应(EDR)系统设置为拦截模式,从而主动阻止恶意行为的运行。
以上图源:微软
