A Microsoft biztonsági kutatói egy új, rendkívül kifinomult hátsóajtó (backdoor) típusú kártevőt fedeztek fel, amely az OpenAI Assistants API-t használja rejtett parancs- és vezérlőcsatornaként. Ez a felfedezés jelentős figyelmet kapott, mivel a támadók így képesek voltak hosszú távon fenntartani a hozzáférést a fertőzött rendszerekhez anélkül, hogy gyanút keltenének vagy könnyen észlelhetők lennének.
A SesameOp malware felfedezése és működése
A Microsoft Detection and Response Team (DART) csapata 2025 júliusában egy kibertámadás vizsgálata során bukkant rá erre az új fenyegetésre, amelyet SesameOp-nak neveztek el. A vizsgálat során kiderült, hogy a malware lehetővé teszi a támadók számára, hogy tartósan hozzáférjenek az érintett környezethez, és távolról irányítsák a megfertőzött eszközöket.
Az egyik legkülönlegesebb jellemzője ennek a kártevőnek, hogy nem hagyományos rosszindulatú infrastruktúrát használ parancs- és vezérlő (C2) kommunikációra. Ehelyett az OpenAI által biztosított felhőszolgáltatásokat veszi igénybe, így a támadás sokkal nehezebben észlelhető és blokkolható.
Hogyan használja a SesameOp az OpenAI Assistants API-t?
A SesameOp backdoor egy speciális komponens segítségével az OpenAI Assistants API-t használja tárolási és továbbítási mechanizmusként. A kártevő ezen keresztül tölti le a tömörített és titkosított parancsokat, amelyeket aztán dekódol és végrehajt az érintett rendszereken.
- Parancsok fogadása: A backdoor lekéri az API-n keresztül érkező utasításokat.
- Adatok titkosítása: A megszerzett információkat szimmetrikus és aszimmetrikus titkosítás kombinációjával védi.
- Adatok visszaküldése: Az érzékeny adatokat ugyanezen az API csatornán keresztül továbbítja vissza a támadóknak.
A támadási lánc technikai részletei
A DART kutatói által megfigyelt támadási lánc több összetett lépésből állt:
- Obfuszkált loader: Egy erősen elrejtett betöltő komponens indítja el a folyamatot.
- .NET alapú backdoor telepítése: A .NET AppDomainManager injektálásával több Microsoft Visual Studio segédprogramba kerül beágyazásra a kártevő.
- Tartós jelenlét biztosítása: Belső web shell-ek és „stratégiailag elhelyezett” rosszindulatú folyamatok segítségével hosszú távú kémkedési műveletek folytathatók.
A Microsoft és az OpenAI együttműködése
A Microsoft hangsúlyozza, hogy a SesameOp nem egy sebezhetőséget vagy hibás konfigurációt használ ki az OpenAI platformján. Ehelyett az Assistants API beépített képességeit használja fel rosszindulatúan. Érdekesség, hogy ez az API 2026 augusztusában tervezetten megszűnik.
A két cég közösen dolgozott azon, hogy feltárják és megakadályozzák a fenyegetők visszaélését. Ennek eredményeként sikerült azonosítani és letiltani azt a fiókot és API kulcsot, amelyeket a támadások során használtak.
A SesameOp célja és jellemzői
A Microsoft szerint a SesameOp rejtett működése összhangban áll azzal a céllal, hogy hosszú távú jelenlétet biztosítson kémkedési célokra. Ez azt jelenti, hogy nem egyszerűen gyors károkozásról van szó, hanem egy kifinomult, kitartó fenyegetésről.
Megelőzés és védekezés a SesameOp ellen
A Microsoft biztonsági szakértői több ajánlást is megfogalmaztak annak érdekében, hogy minimalizálják ennek a malware-nek a hatását:
- Tűzfalszabályok auditálása: Rendszeresen ellenőrizzük a tűzfalszabályokat és naplókat gyanús tevékenységek után kutatva.
- Tamper védelem engedélyezése: Biztosítsuk, hogy illetéktelenek ne módosíthassák biztonsági beállításainkat.
- Végpontvédelmi rendszer blokkoló módba állítása: Így automatikusan blokkolhatók lesznek ismeretlen vagy gyanús műveletek.
- Külső szolgáltatásokhoz való jogosulatlan kapcsolódások monitorozása: Figyeljük az engedély nélküli hálózati kapcsolatokat különösen felhőszolgáltatások irányába.
Záró gondolatok
A SesameOp esete jól mutatja, hogy milyen innovatív módszerekkel próbálnak meg ma már kibertámadók rejtetten működni. Az OpenAI Assistants API mint parancsvezérlő csatorna használata új dimenziókat nyitott meg a fenyegetések világában. Ezért elengedhetetlen, hogy a biztonsági szakemberek naprakészek legyenek ezekkel az új technikákkal kapcsolatban, és megfelelő védelmi intézkedéseket alkalmazzanak.
Akár régi kulcsokat tisztítasz ki, akár AI által generált kódok biztonságát szeretnéd garantálni, ez az útmutató segít abban, hogy már az elejétől biztonságosan építsd fel rendszereidet.
Töltsd le most az ingyenes cheat sheet-et, hogy egyszerűbbé tedd titkosítási kulcsaid kezelését és megszüntesd a bizonytalanságot!