Microsoft güvenlik araştırmacıları, OpenAI Assistants API’sini gizli bir komuta ve kontrol kanalı olarak kullanan yeni bir arka kapı kötü amaçlı yazılım keşfetti.
Şirketin Tespit ve Yanıt Ekibi (DART), Temmuz 2025’te gerçekleşen bir siber saldırıya ilişkin soruşturma sırasında SesameOp adlı yeni kötü amaçlı yazılımı keşfetti ve bu kötü amaçlı yazılımın, saldırganların güvenliği ihlal edilen ortama kalıcı erişim elde etmesine izin verdiğini ortaya çıkardı.
Bu kötü amaçlı yazılımın yayılması aynı zamanda tehdit aktörlerinin, mağdurları bir saldırıya karşı uyarabilecek ve sonraki olay müdahalesi sırasında kapatılabilecek özel kötü amaçlı altyapıya güvenmek yerine meşru bulut hizmetlerinden yararlanarak arka kapılı cihazları birkaç ay boyunca uzaktan yönetmesine de olanak tanıdı.
Microsoft Olay Müdahale ekibi Pazartesi günü yayınlanan bir raporda, “Daha geleneksel yöntemlere güvenmek yerine, bu arka kapının arkasındaki tehdit aktörü, OpenAI’yi tehlikeye atılmış ortamda gizlice iletişim kurmanın ve kötü niyetli faaliyetleri düzenlemenin bir yolu olarak bir C2 kanalı olarak kötüye kullanıyor.” dedi.
“Bunu yapmak için arka kapının bir bileşeni, kötü amaçlı yazılımın çalıştıracağı komutları getirmek için bir depolama veya aktarma mekanizması olarak OpenAI Assistants API’yi kullanıyor.”
SesameOp arka kapısı, kötü amaçlı yazılımın şifresini çözdüğü ve virüslü sistemlerde yürüttüğü sıkıştırılmış ve şifrelenmiş komutları getirmek için bir depolama ve aktarma mekanizması olarak OpenAI Assistants API’sini kullanıyor. Saldırılarda toplanan bilgiler, simetrik ve asimetrik şifreleme kombinasyonu kullanılarak şifreleniyor ve aynı API kanalı üzerinden geri iletiliyor.
DART araştırmacıları tarafından gözlemlenen saldırı zinciri, oldukça karmaşık bir yükleyiciyi ve birden çok Microsoft Visual Studio yardımcı programına .NET AppDomainManager enjeksiyonu aracılığıyla dağıtılan .NET tabanlı bir arka kapıyı içeriyordu. Kötü amaçlı yazılım, dahili web kabukları ve uzun vadeli casusluk operasyonları için tasarlanmış “stratejik olarak yerleştirilmiş” kötü amaçlı süreçler aracılığıyla kalıcılık sağlar.
Microsoft, kötü amaçlı yazılımın OpenAI platformundaki bir güvenlik açığından veya yanlış yapılandırmadan yararlanmadığını, bunun yerine Assistants API’nin (Ağustos 2026’da kullanımdan kaldırılması planlanan) yerleşik yeteneklerini kötüye kullandığını belirtiyor. Microsoft ve OpenAI, tehdit aktörlerinin API’yi kötüye kullanmasını araştırmak için işbirliği yaptı ve bu da saldırılarda kullanılan hesabın ve API anahtarının tanımlanmasına ve devre dışı bırakılmasına yol açtı.
Microsoft, “SesameOp’un gizli doğası, casusluk türü amaçlar için uzun vadeli kalıcılık olduğu belirlenen saldırının hedefiyle tutarlıdır” diye ekledi.
SesameOp kötü amaçlı yazılım saldırılarının etkisini azaltmak için Microsoft, güvenlik ekiplerine güvenlik duvarı günlüklerini denetlemelerini, kurcalamaya karşı korumayı etkinleştirmelerini, blok modunda uç nokta algılamayı yapılandırmalarını ve harici hizmetlere yapılan yetkisiz bağlantıları izlemelerini tavsiye ediyor.
MCP (Model Bağlam Protokolü), LLM’leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.