Hogyan működik a SesameOp?
A SesameOp lehetővé teszi, hogy a támadók hónapokon keresztül észrevétlenül irányítsák a megfertőzött eszközöket, mégpedig legális felhőszolgáltatások kihasználásával, saját infrastruktúra helyett. A backdoor egyik komponense az OpenAI Assistants API-t használja parancsok letöltésére és tárolására. Ezeket a parancsokat a kártevő letölti, dekódolja és lefuttatja az áldozat rendszerén. Az ellopott információkat kombinált szimmetrikus és aszimmetrikus titkosítással védik, majd visszaküldik ugyanazon API-csatornán.
Kifinomult támadási lánc
A támadás bonyolult betöltőt és .NET-alapú backdoort használt, amelyet több Microsoft Visual Studio segédprogramba rejtettek. A maradandóságot belső webshell-lel és okosan elhelyezett, hosszú távú átjátszófolyamatokkal biztosították. Maga a kártevő nem az OpenAI platform hibáit vagy hibás beállításait használja ki, hanem az Assistants API meglévő funkcióit fordítja a támadók javára. A Microsoft és az OpenAI együttműködve felfedezte és letiltotta a támadásban használt API-kulcsot és fiókot.
Védekezési javaslatok
A Microsoft azt tanácsolja, hogy a biztonsági csapatok vizsgálják át a tűzfalnaplókat, kapcsolják be a beavatkozás elleni védelmet, engedélyezzék a végpontvédelmet blokkoló üzemmódban, és figyeljék az illetéktelen külső kapcsolódásokat. Az ügy rávilágít arra, mennyire új szintre emelkedtek az MI-t is kihasználó kiberfenyegetések.
