Специалисты Microsoft Detection and Response Team (DART) сообщили о выявлении бэкдора SesameOp, который злоупотребляет легитимным сервисом OpenAI Assistants API для организации скрытой командно‑контрольной связи. По данным Microsoft, активность была замечена в ходе расследования атаки в июле 2025 года: операторы в течение месяцев управляли скомпрометированными узлами, оставаясь незамеченными традиционными системами мониторинга.
Как работает SesameOp и почему выбор пал на Assistants API
Вместо типовой C2‑инфраструктуры, подверженной блокировкам и таксономии индикаторов компрометации, SesameOp использует облачный легитимный канал. Команды передаются через Assistants API в сжатом и зашифрованном виде; агент расшифровывает инструкции локально и исполняет их. Экcфильтрация собранных данных происходит обратным путём — также через API, с комбинированием симметричного и асимметричного шифрования для устойчивости и целостности.
Цепочка атаки и механизмы закрепления
По информации команды Microsoft Incident Response, цепочка компрометации включала сильно обфусцированный загрузчик и .NET‑бэкдор. Доставка и инициализация осуществлялись через инъекцию .NET AppDomainManager, затрагивавшую ряд утилит Microsoft Visual Studio, что усложняло анализ и повышало стойкость к удалению. Для долговременного присутствия применялись внутренние веб‑шеллы и фоновые процессы, ориентированные на длительные шпионские операции.
Злоупотребление облачными сервисами как тренд обхода защиты
Использование популярных SaaS/облачных платформ как C2‑канала давно стало распространённой техникой уклонения: ранее злоумышленники применяли мессенджеры и хостинги разработчиков (например, Telegram, Discord, Git‑сервисы) для маскировки трафика под нормальную деятельность. Ключевое преимущество для атакующих — легитимность доменов и TLS‑шифрование, что снижает эффективность статической блокировки и списков репутаций. Случай с SesameOp подтверждает, что злоумышленники нацелены на максимальное слияние с «обычным» трафиком организации и эксплуатацию доверенных маршрутов.
Роль Microsoft и OpenAI: сдерживание кампании
Microsoft и OpenAI провели совместное расследование, в ходе которого идентифицировали и отключили аккаунт и API‑ключ, использованные в кампании, а также заблокировали связанную инфраструктуру. По оценке экспертов, SesameOp не задействует уязвимости платформы и не опирается на ошибки конфигураций; вместо этого он злоупотребляет штатной функциональностью API, что подчеркивает важность поведенческой аналитики и контроля контекста использования облачных сервисов.
Что это значит для защитников: уроки и практические меры
Наблюдаемость и сетевой контроль
— Внедрить egress‑контроль и категоризацию трафика к облачным API: явные allow‑lists по доменам и путям, прокси с проверкой политик и минимизацией «широких» разрешений.
— Использовать TLS inspection там, где это допустимо, и телеметрию уровня SNI/JA3/HTTP‑заголовков для поведенческого профилирования обращений к AI/LLM‑сервисам.
Контроль исполнения и телеметрия конечных точек
— Мониторить анормальные загрузки .NET, события AppDomainManager и инъекции в процессы разработческих инструментов (Visual Studio и смежные утилиты). Включить правила EDR/AV, отслеживающие нетипичное создание доменов приложений и динамическую загрузку сборок.
— Охватить веб‑шеллы сигнатурами контент‑инспекции, проверкой целостности веб‑каталогов и правилами, выявляющими длительные низкоинтенсивные сессии и нестандартные User‑Agent.
Управление доступом и ключами
— Применять контроль выдачи и ротацию API‑ключей, мониторинг их использования, географии и объёмов. Аномалии — повод для блокировки и расследования.
— Развернуть UEBA/поведенческую аналитику для выявления «тихих» C2‑паттернов: периодические короткие обращения, детерминированные интервалы, необычные нагрузки на конкретные хосты.
Почему это важно для отрасли
SesameOp демонстрирует смещение баланса в сторону операционной скрытности вместо эксплуатации уязвимостей. Там, где контроль строится на IOC и блокировке IP/доменов, злоумышленники переходят к злоупотреблению доверенными сервисами и API. Эффективная защита требует сочетания контекстного контроля доступа, телеметрии на уровне процесса и сетевого профилирования поведения, а также тесного взаимодействия с поставщиками облачных решений.
Организациям рекомендуется пересмотреть политику исходящего трафика к AI‑платформам, включить аудит обращений к Assistants API, укрепить мониторинг .NET‑окружений и механизмов AppDomainManager, а также наладить процедуру быстрой отзывчивости на злоупотребления ключами. Усиление поведенческой аналитики, совместимые с приватностью методы инспекции и координация с облачными провайдерами помогут снизить вероятность длительного незаметного присутствия сопоставимых кампаний кибершпионажа.
