Microsoft je otkrio da je haker zloupotrijebio OpenAI Assistants API kao kanal komunikacije između svog komandno-kontrolnog (C&C) servera i prikrivenog backdoora.
Backdoor, nazvan SesameOp, korišćen je u okviru sofisticiranog napada u kojem je napadač mjesecima održavao pristup kompromitovanom okruženju, oslanjajući se na složenu mrežu web shellova za izvršavanje komandi.
Prema navodima Microsofta, komande su prenošene kroz maliciozne procese koji su zloupotrebljavali kompromitovane Visual Studio alate za učitavanje zlonamjernih biblioteka, koristeći tehniku poznatu kao .NET AppDomainManager injection.
SesameOp je osmišljen za dugoročni pristup kompromitovanim uređajima, što ukazuje da je cilj napada bila špijunaža.
Napadači su, objašnjava Microsoft, izmijenili konfiguracioni fajl izvršne datoteke domaćina kako bi se tokom pokretanja učitala DLL biblioteka pod nazivom Netapi64.dll, pomoću pomenute .NET injekcione tehnike.
DLL funkcioniše kao loader za backdoor koji se čuva u Temp folderu pod imenom OpenAIAgent.Netapi64.
Maliciozni softver koristi OpenAI Assistants API da preuzme komande sa C&C servera, a nakon izvršenja zadatka, rezultat vraća OpenAI-ju kao poruku.
Funkcija OpenAI Assistants omogućava kreiranje prilagođenih AI agenata koje korisnici mogu povezivati sa zadacima, radnim tokovima i domenima.
Prilikom uspostavljanja komunikacije, backdoor najprije šalje upit prema listi „vector store“ podataka na OpenAI-ju i provjerava da li sadrži hostname-ove. Ako je komunikacija prvi put uspostavljena, hostname ne postoji, pa se kreira novi „vector store“ koristeći naziv kompromitovanog sistema.
Zatim, backdoor preuzima listu Assistants agenata sa napadačevog OpenAI naloga. Lista sadrži ID, naziv, opis i instrukcije.
Polje description može sadržati vrijednosti Sleep, Payload ili Result. Napadači koriste prva dva za slanje poruka i payload-ova backdooru, koji ih dekodira i izvršava na osnovu vrijednosti u polju instruction. Treća opcija se koristi za slanje rezultata nakon izvršenja komandi.
Microsoft navodi da je identifikovao API ključ korišćen u ovom napadu i obavijestio OpenAI, koji je deaktivirao i ključ i povezani nalog za koji se vjeruje da je pripadao hakeru.
OpenAI Assistants API biće ukinut u avgustu 2026. godine.
Izvor: SecurityWeek
