%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
近日,微软安全研究团队(DART)发出警告,指出一种新型的恶意软件 “SesameOp” 正利用 OpenAI 的 Assistants API 进行网络攻击。这款恶意软件的创新之处在于,它将这一合法的云服务作为其隐蔽的指挥与控制(C2)通道,使得攻击者能够在受害者的系统中悄然获得持续访问。
根据微软的调查,SesameOp 在2025年7月的网络攻击中首次被发现。该恶意软件通过使用 OpenAI 的 Assistants API 作为存储和中继平台,向感染系统发送经过压缩和加密的恶意指令。在接收到指令后,恶意软件会将其解密并执行,同时也会窃取系统中的信息,经过加密后再通过同一 API 通道返回给攻击者,形成一个完整的隐蔽通信链。
从技术层面来看,SesameOp 包含一个加载器(Netapi64.dll)和一个基于.NET 开发的后门程序。为了避免被安全软件检测,该恶意软件使用 AES 和 RSA 双重加密,并结合 GZIP 压缩技术,增加了其隐蔽性。攻击者还利用了一种称为.NET AppDomainManager 注入的高级技术,通过劫持.NET 应用加载过程来执行恶意代码,实现长时间的潜伏。
微软表示,此次攻击并未利用 OpenAI 平台的安全漏洞,而是滥用了 Assistants API 的内置功能。发现这一威胁后,微软迅速与 OpenAI 展开合作,封禁了攻击者使用的账户及 API 密钥。此外,微软还计划在2026年8月弃用被滥用的 Assistants API。
为应对 SesameOp 带来的风险,微软建议企业安全团队采取一系列措施,包括严格审计防火墙日志、监控未授权的外部连接,并启用设备上的篡改防护功能。同时,企业应将终端检测和响应(EDR)系统配置为拦截模式,以主动阻止恶意行为的执行。
划重点:
💻 发现新型恶意软件 “SesameOp”,利用 OpenAI Assistants API 进行隐蔽攻击。
🔒 攻击者通过加密指令和信息回传,实现持续潜伏和远程控制。
🚨 微软建议企业加强网络安全监控,采取措施防范此类攻击。