Бэкдор SesameOp использует OpenAI Assistants API для сокрытия C2-связи

Татьяна Никитина 05 Ноября 2025 - 15:15

Домашние пользователи

Таргетированные атаки

...

Бэкдор SesameOp использует OpenAI Assistants API для сокрытия C2-связи

При разборе шпионской атаки на клиента специалисты Microsoft обнаружили новый кастомный Windows-бэкдор. Вредонос, нареченный SesameOp, необычен тем, что для сокрытия C2-коммуникаций использует Assistants API компании OpenAI.

Интерфейс, открывающий доступ к эталонным ассистентам и векторным хранилищам OpenAI, позволяет разработчикам интегрировать ИИ в свои приложения и рабочие процессы. Согласно плану, в августе 2026 года он будет упразднен, на смену ему придет Responses API.

По данным Microsoft, злоупотребление в данном случае было дозированным: вызовы API из-под аккаунта, использованного в рамках атаки, ограничивались лишь нуждами C2-связи, что позволило шпионам незаметно присутствовать в сети жертвы несколько месяцев. Попыток взаимодействия с ИИ-моделями или сервисами OpenAI не зафиксировано.

«Данная угроза — не уязвимость и не ошибка в конфигурации, а скорее неправомерное использование встроенных возможностей OpenAI Assistants API», — пишут эксперты в блоге.

Бэкдор SesameOp был обнаружен благодаря веб-шеллам, внедренным злоумышленниками в утилиты Visual Studio через инъекции в AppDomainManager. Авторы атаки использовали их для закрепления в системах и удаленного управления ими, скрывая C2-обмен в легитимном трафике.

Сам зловред состоит из двух компонентов: обфусцированного загрузчика (Netapi64.dll) и написанного на .NET пейлоада (OpenAIAgent.Netapi64). Последний, используя заданные в конфигурационном файле прокси и ключ доступа к OpenAI API, получает команды от оператора (сообщения, использующие Base64, AES, RSA и GZIP), расшифровывает их, парсит, а затем, используя те же способы сокрытия контента, отчитывается о выполнении.

Установить авторство атаки пока не удалось. Результаты расследования переданы в OpenAI, использованные злоумышленниками аккаунт и ключ API уже аннулированы.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Июня 2026 - 18:05

Корпорации Государство Security Vision

Татарстан и Security Vision займутся кибербезопасностью в регионе

Правительство Татарстана и компания Security Vision подписали стратегическое соглашение о сотрудничестве в сфере кибербезопасности. Документ заключили на Петербургском международном экономическом форуме 2026 года. Стороны планируют вместе работать над защитой значимых предприятий региона, развивать подходы к информационной безопасности и повышать цифровую грамотность жителей.

Это соглашение стало продолжением уже действующего сотрудничества. Ранее Security Vision вместе с Центром информационных технологий Республики Татарстан участвовала в создании системы автоматизации процессов кибербезопасности для регионального правительства.

Сейчас платформа Security Vision установлена в правительственном центре обработки данных Татарстана. С её помощью выстроены процессы информационной безопасности более чем для 20 министерств и ведомств. По сути, речь идёт о единой системе, которая помогает координировать защиту цифровой инфраструктуры республиканских органов власти.

В рамках нового соглашения стороны будут обмениваться опытом, совместно прорабатывать подходы к защите информации и реагированию на киберугрозы. Отдельный акцент сделают на устойчивости значимых предприятий региона, для которых сбои и инциденты в цифровой среде могут быть особенно чувствительными.

Ещё одно направление — образование. В планах есть повышение квалификации специалистов по информационной безопасности, развитие инициатив по киберграмотности и популяризация профессии защитника информации. Часть проектов могут реализовать на базе Университета Иннополис.

Также Татарстан и Security Vision намерены совместно проводить лекции, семинары и другие просветительские мероприятия для жителей региона. Кроме того, стороны продолжат участвовать в отраслевых событиях, включая Kazan Digital Week.

Министр цифрового развития Татарстана Илья Начвин отметил, что республика уже выстроила единую защищённую экосистему на базе Центра информационных технологий. По его словам, новое соглашение должно помочь развивать эту инфраструктуру дальше.

Гендиректор Security Vision Руслан Рахметов подчеркнул, что совместные инициативы будут касаться как повышения киберграмотности, так и защиты значимых предприятий региона.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!