Duty-Free.cc
Новости

Microsoft сообщила о вредоносной кампании SesameOp: злоумышленники использовали трафик OpenAI для маскировки своих действий в течение месяцев.

Duty News 0 06.11.2025

Бэкдор был видим, но поймать его — задача не простая.

Microsoft обнаружила новую вредоносную программу, получившую имя SesameOp, и опубликовала подробности её функционирования. Особенность этой кампании — использование OpenAI Assistants API в качестве тайного канала управления: вредоносное ПО маскировало командный трафик под легитимные обращения к облачному сервису, что усложняло его обнаружение стандартными средствами.

Инфицированный сценарий был выявлен в июле 2025 года при расследовании одной из комплексных атак, в ходе которой злоумышленники сохраняли доступ к инфраструктуре жертвы в течение нескольких месяцев. Название атакованной организации не раскрывается. Разведка обнаружила разветвлённую сеть внутренних веб-оболочек и вредоносные процессы, замаскированные под легальные утилиты Visual Studio. Для внедрения использовался приём AppDomainManager injection: изменённый конфигурационный файл заставлял исполняемый файл загружать динамическую библиотеку Netapi64.dll, содержащую вредоносный код.

Эта библиотека была сильно обфусцирована с помощью Eazfuscator.NET, что обеспечивало дополнительную скрытность. Она выполняла роль загрузчика для .NET-модуля OpenAIAgent.Netapi64, который опрашивал OpenAI Assistants API в поисках инструкций. Полученные через API команды расшифровывались, запускались в отдельном потоке, а результаты выполнения возвращались обратно через тот же канал. Фактически инфраструктура OpenAI использовалась как промежуточная платформа управления, не вызывающая подозрений при анализе сетевого трафика.

Обмен между бэкдором и сервером управления происходил через сообщения, где в поле «описание» передавались ключевые параметры: команды SLEEP для временной приостановки активности, Payload для выполнения вложенных задач и Result для отправки результатов оператору.

Личность нападавших остаётся неизвестной, но сама схема подчёркивает тенденцию злоумышленников использовать легитимные облачные сервисы для скрытого управления — это значительно затрудняет обнаружение, поскольку трафик не выходит за рамки обычного использования корпоративного API. После уведомления Microsoft команда OpenAI провела внутреннюю проверку, обнаружила подозрительный ключ и заблокировала связанный аккаунт.

По оценке Microsoft, SesameOp демонстрирует намерение обеспечить долговременный, незаметный контроль над поражённой инфраструктурой. Примечательно, что OpenAI планирует прекратить работу Assistants API в августе 2026 года — ему на смену придёт интерфейс Responses API.