微软发现新恶意软件SesameOp，滥用OpenAI API进行攻击

快速阅读: 微软发现新恶意软件SesameOp，利用OpenAI助手API作为隐蔽命令与控制通道，允许攻击者远程管理受感染设备，建立持久访问权限，用于长期间谍活动。

微软安全研究人员发现了一种新的后门恶意软件，该软件利用OpenAI助手API作为隐蔽的命令与控制通道。该公司检测与响应团队（DART）在调查2025年7月的一次网络攻击时发现了这种名为SesameOp的新恶意软件，调查显示该恶意软件允许攻击者获得对受感染环境的持久访问权限。

部署此恶意软件还使威胁行为者能够通过利用合法云服务，在几个月内远程管理被植入后门的设备，而无需依赖可能向受害者发出警报并在后续事件响应中被关闭的专用恶意基础设施。“与其依赖更传统的方法，这背后威胁行为者滥用OpenAI作为C2通道，以隐秘方式在受感染环境中通信并协调恶意活动。”微软事件响应团队在周一的一份报告中表示，“为此，后门的一个组件使用OpenAI助手API作为存储或中继机制来获取命令，然后由恶意软件执行这些命令。”

SesameOp后门利用OpenAI助手API作为存储和中继机制，从该API获取压缩和加密的命令，这些命令由恶意软件解密并在受感染系统上执行。攻击中收集的信息使用对称和非对称加密组合进行加密，并通过同一API通道传输回。DART研究人员观察到的攻击链涉及高度混淆的加载器和通过.NET AppDomainManager注入到多个Microsoft Visual Studio实用工具中的.NET基础后门。恶意软件通过内部Web Shell和“战略性放置”的恶意进程建立持久性，旨在进行长期间谍活动。

微软表示，该恶意软件并未利用OpenAI平台的漏洞或配置不当，而是滥用了计划于2026年8月弃用的助手API的内置功能。微软与OpenAI合作调查了威胁行为者对API的滥用，导致识别并禁用了用于攻击的账户和API密钥。“SesameOp的隐秘性质与攻击目标相符，该目标被确定为长期持久性，用于间谍目的。”微软补充道。

为了减轻SesameOp恶意软件攻击的影响，微软建议安全团队审计防火墙日志，启用防篡改保护，将端点检测配置为阻止模式，并监控与外部服务的未经授权连接。

(以上内容均由Ai生成)