Nhóm Detection and Response Team (DART) của Microsoft đã phát hiện một loại mã độc backdoor tinh vi, được đặt tên là SesameOp. Mã độc này khai thác OpenAI Assistants API làm kênh giao tiếp Command and Control (C2) phi truyền thống, cho thấy cách các tác nhân đe dọa đang thích nghi để lợi dụng các dịch vụ đám mây hợp pháp cho mục đích độc hại.

Việc phát hiện ra SesameOp nhấn mạnh chiến thuật tấn công mạng đang phát triển, nơi kẻ tấn công tìm cách trộn lẫn lưu lượng độc hại với giao tiếp API hợp pháp để né tránh các kiểm soát an ninh truyền thống, khiến việc phát hiện xâm nhập trở nên khó khăn hơn đáng kể đối với các đội ngũ bảo mật.

Phân Tích Kỹ Thuật Mã Độc SesameOp

Khai Thác OpenAI Assistants API làm Kênh C2

Khác với các phương pháp giao tiếp mã độc truyền thống, SesameOp không thiết lập hạ tầng C2 riêng. Thay vào đó, nó lợi dụng OpenAI Assistants API để lưu trữ, chuyển tiếp và truy xuất các lệnh độc hại. Cách tiếp cận này cho phép kẻ tấn công che giấu hoạt động C2 trong lưu lượng API hợp pháp đến một nhà cung cấp dịch vụ đáng tin cậy.

Điều này làm cho việc giám sát mạng thông thường trở nên cực kỳ khó khăn. Thành phần mã độc sử dụng API làm cả cơ chế lưu trữ và chuyển tiếp, truy xuất các lệnh được mã hóa sau đó thực thi trên các hệ thống bị xâm nhập.

Chuỗi Lây Nhiễm và Cơ Chế Tồn Tại

Cuộc điều tra của Microsoft cho thấy các tác nhân đe dọa đã duy trì sự hiện diện trong môi trường mục tiêu trong nhiều tháng trước khi bị phát hiện. Hạ tầng tấn công mạng phức tạp của SesameOp bao gồm các web shell nội bộ chịu trách nhiệm thực thi các lệnh được chuyển tiếp từ các tiến trình độc hại liên tục.

Các tiến trình này đã khai thác nhiều tiện ích Microsoft Visual Studio bị xâm nhập bằng cách sử dụng các thư viện độc hại thông qua kỹ thuật .NET AppDomainManager injection. Đây là một kỹ thuật né tránh phòng thủ tinh vi, cho phép kẻ tấn công thiết lập sự tồn tại lâu dài mà không bị phát hiện trong thời gian dài.

Chuỗi lây nhiễm của SesameOp bao gồm hai thành phần chính:

• Thành phần Loader (Netapi64.dll): Được mã hóa mạnh mẽ bằng Eazfuscator.NET và được tải vào các tệp thực thi máy chủ tại thời điểm chạy thông qua .NET AppDomainManager injection. DLL này tạo các tệp đánh dấu trong thư mục Windows Temp và thiết lập một mutex để đảm bảo chỉ có một phiên bản chạy trong bộ nhớ. Sau đó, nó liệt kê các tệp trong thư mục Temp, tìm kiếm các tệp có đuôi .Netapi64, giải mã XOR và thực thi chúng.
• Thành phần Backdoor Chính (OpenAIAgent.Netapi64): Chứa chức năng cốt lõi cho phép các hoạt động bí mật. Mặc dù tên gợi ý tích hợp với OpenAI SDKs, mã độc này thực sự chỉ sử dụng OpenAI Assistants API như một kênh giao tiếp đơn thuần.

Cơ Chế Cấu Hình và Giao Tiếp C2 với OpenAI

Khi khởi chạy, OpenAIAgent.Netapi64 đọc dữ liệu cấu hình được nhúng trong phần tài nguyên .NET của nó. Dữ liệu này bao gồm khóa API OpenAI, tên khóa từ điển và cài đặt proxy. Mã độc truy vấn các vector store từ OpenAI bằng khóa API được mã hóa cứng, kiểm tra xem tên vector store có chứa hostname của máy bị nhiễm hay không.

Nếu là lần đầu tiên giao tiếp, nó sẽ tạo một vector store mới sử dụng hostname của hệ thống bị xâm nhập. Mã độc cũng kiểm tra xem phần thứ ba của cấu hình có chỉ định địa chỉ proxy hay không. Nếu có, nó sử dụng địa chỉ này; nếu không, hệ thống sẽ mặc định sử dụng proxy web mặc định.

Mã độc truy xuất danh sách các Assistants đã tạo trong tài khoản OpenAI và phân tích các thuộc tính của chúng, bao gồm Assistant ID, tên, mô tả và hướng dẫn. Trường mô tả (description field) đóng vai trò là bộ chọn lệnh, chứa một trong ba tùy chọn: SLEEP, Payload hoặc Result.

• Khi được đặt thành SLEEP, backdoor trích xuất ID luồng (thread) và ID tin nhắn (message) từ trường hướng dẫn để truy xuất các lệnh định thời gian từ OpenAI.
• Đối với các lệnh Payload, nó truy xuất các tin nhắn được mã hóa, xóa chúng khỏi OpenAI và xử lý chúng qua nhiều lớp giải mã.

Cơ Chế Mã Hóa Đa Lớp Của SesameOp

SesameOp sử dụng mã hóa đa lớp tinh vi để bảo vệ cả các lệnh đến và dữ liệu bị rò rỉ đi. Các tin nhắn được truy xuất chứa khóa AES 32 byte được giải mã Base64 và sau đó giải mã bằng khóa riêng RSA được nhúng trong mã độc. Payload thực tế được giải mã Base64, giải mã bằng thuật toán AES với khóa đã được tạo ra, và nén bằng GZIP.

Cách tiếp cận nhiều lớp này, kết hợp mã hóa đối xứng và bất đối xứng với nén, giúp giảm thiểu kích thước payload đồng thời tối đa hóa bảo mật của các giao tiếp C2.

Thực Thi Lệnh và Rò Rỉ Dữ Liệu

Sau khi giải mã và giải nén, payload trải qua quá trình xử lý bổ sung để chuyển đổi thành cấu trúc từ điển. Mã độc backdoor sử dụng các kỹ thuật giải mã và phân tích URL để biến tin nhắn thành các cặp khóa-giá trị. Một module .NET được nhúng sau đó được tải động bằng reflection, khởi tạo một Microsoft JScript VsaEngine để thực thi payload bằng Eval.JScriptEvaluate.

Kết quả thực thi được nén bằng GZIP, mã hóa bằng AES và mã hóa Base64 trước khi được gửi lại lên OpenAI dưới dạng tin nhắn mới. Backdoor tạo các Assistants mới với hostname được mã hóa và đặt trường mô tả thành Result, báo hiệu cho kẻ tấn công rằng kết quả thực thi đã sẵn sàng để truy xuất. Mã độc cũng phân tích trường timeSLEEP từ phản hồi nhận được từ OpenAI, sử dụng giá trị này để thực hiện thao tác ngủ luồng.

Phản Ứng và Biện Pháp Giảm Thiểu

Hành Động Phối Hợp và Vô Hiệu Hóa API

Microsoft và OpenAI đã tiến hành một cuộc điều tra chung về mối đe dọa này. Kết quả là khóa API và tài khoản liên quan, được cho là đã được kẻ tấn công sử dụng, đã được xác định và vô hiệu hóa. Cuộc rà soát xác nhận rằng tài khoản bị xâm nhập chỉ thực hiện các cuộc gọi API hạn chế và không tương tác với các mô hình hoặc dịch vụ OpenAI ngoài các giao tiếp C2.

Cả hai công ty tiếp tục cộng tác để hiểu và ngăn chặn cách các tác nhân đe dọa cố gắng lạm dụng các công nghệ mới nổi. Microsoft nhấn mạnh rằng mối đe dọa này không đại diện cho một lỗ hổng trong nền tảng OpenAI mà là sự lạm dụng chức năng hợp pháp.

Đáng chú ý, OpenAI Assistants API đã được lên lịch ngừng hỗ trợ vào tháng 8 năm 2026. Để biết thêm thông tin chi tiết về kỹ thuật, bạn có thể tham khảo báo cáo của Microsoft: SesameOp: Novel backdoor uses OpenAI Assistants API for Command and Control.

Khuyến Nghị Bảo Mật từ Microsoft để Phòng Ngừa Tấn Công Mạng

Microsoft khuyến nghị các biện pháp bảo mật toàn diện để phòng thủ chống lại SesameOp và các mối đe dọa tương tự. Các tổ chức nên kiểm tra nhật ký tường lửa và máy chủ web thường xuyên, đồng thời duy trì nhận thức về tất cả các hệ thống tiếp xúc với Internet.

Việc phân đoạn mạng bằng Windows Defender Firewall, hệ thống ngăn chặn xâm nhập (IPS) và tường lửa mạng có thể chặn các giao tiếp C2 trên các điểm cuối và giảm thiểu di chuyển ngang. Cấu hình tường lửa biên và proxy nên được xem xét để hạn chế truy cập trái phép qua các cổng không tiêu chuẩn.

Để tăng cường an ninh mạng, việc bật tính năng bảo vệ chống giả mạo (tamper protection) trong Microsoft Defender for Endpoint sẽ ngăn kẻ tấn công vô hiệu hóa các kiểm soát bảo mật. Chạy giải pháp Endpoint Detection and Response (EDR) ở chế độ chặn (block mode) cho phép Microsoft Defender chặn các phần tử độc hại ngay cả khi các giải pháp chống virus khác không phát hiện ra mối đe dọa.

Các tổ chức cũng nên cấu hình điều tra và khắc phục tự động ở chế độ tự động hoàn toàn (full automated mode) và bật bảo vệ phân phối qua đám mây (cloud-delivered protection) để phòng thủ chống lại các công cụ và kỹ thuật tấn công đang phát triển nhanh chóng.