Злоумышленники начали использовать легитимные приглашения OpenAI для создания отравленных тенантов и кражи корпоративных данных

phishing

Сотрудники компании Push Security, специализирующейся на идентификационной безопасности, стали целью атаки, эксплуатирующей механизм организационных приглашений в платформе OpenAI. Злоумышленники создали подставную организацию под названием "Push Security Inc", зарегистрировали на неё кредитную карту и направили сотрудникам целевой компании письма от имени генерального директора. Инцидент детально описан в отчёте самой Push Security, опубликованном в их корпоративном блоге 1 февраля 2026 года.

Описание

Атака началась с того, что несколько членов команды Push Security получили волну электронных писем с адреса noreply@tm.openai.com - официального уведомительного канала OpenAI. Письма прошли все стандартные проверки аутентификации SPF, DKIM и DMARC, что делало их неотличимыми от обычных корпоративных приглашений. В тексте указывалось, что получатель добавлен в организацию "Push Security Inc", а отправителем значился аккаунт, зарегистрированный на произвольный gmail-адрес, не имеющий отношения к домену pushsecurity.com.

OpenAI действительно предусмотрел в таком письме предупреждение - короткая строка о том, что домен отправителя не совпадает с доменом получателя. Однако эта строка располагалась в конце письма, оформленного в фирменном стиле OpenAI. Исследователи отметили, что злоумышленники предварительно изучили структуру компании: приглашения отправлялись на корпоративные почтовые ящики конкретных сотрудников по имени.

Для проверки вектора атаки один из аналитиков Push Security принял приглашение. Процесс занял один клик - ни пароль, ни дополнительная аутентификация не потребовались. После перехода по ссылке браузер, не содержащий сессий ChatGPT, мгновенно добавил учётную запись аналитика в организацию злоумышленников. На странице подтверждения отображалось "Invite accepted" и название организации.

Внутри подставного тенанта злоумышленники создали профиль администратора, используя имя генерального директора Push Security Адама. Сотрудникам, получившим приглашение, была присвоена роль "Owner" - полный административный доступ с возможностью управлять участниками, настройками и платежами. К аккаунту организации была прикреплена кредитная карта Visa - по мнению аналитиков, скорее всего украденная, поскольку легитимный владелец вряд ли стал бы оплачивать фишинговую кампанию.

Команда Push Security заметила подозрительные письма сразу и подняла тревогу внутри компании. После того как аналитик присоединился к тенанту, он смог увидеть список всех приглашённых сотрудников и их статус. Оказалось, что никто из коллег не принял приглашение - все оставались в статусе "invite pending". Это позволило быстро подтвердить, что никакие данные не были скомпрометированы. Дополнительно были внедрены почтовые правила, блокирующие подобные приглашения в будущем.

Конечная цель атаки, по мнению специалистов, заключалась в том, чтобы заставить сотрудников начать активно использовать подставную организацию для рабочих задач. Если бы кто-то из команды, считая, что компания завела официальный аккаунт OpenAI, стал загружать в ChatGPT исходный код, внутренние документы, данные клиентов или стратегические планы, злоумышленник, обладая правами администратора, получал бы доступ ко всей этой информации через логи использования и журналы API-запросов. Прикреплённая кредитная карта устраняла потенциальные препятствия: если бы сотрудник наткнулся на платёжный шлюз, он мог бы заподозрить неладное и обратиться в ИТ-отдел.

Описанная техника является развитием концепции "отравленного тенанта" (poisoned tenant), которую Push Security впервые представили в августе 2023 года в рамках исследования SAMLjacking. Суть метода заключается в том, что атакующий регистрирует тенант на любом SaaS-сервисе, используя название целевой организации, приглашает её сотрудников, а затем настраивает вредоносный SAML-провайдер для кражи учётных данных или использует доверие пользователей для запроса OAuth-согласия на сторонние интеграции. В случае с OpenAI, как отмечается в исследовании, настройка SAML затруднена из-за необходимости верификации домена, но остаются другие сценарии атак.

Среди них - подделка проектов и общих чатов. Ранее Push Security уже раскрыли атаку LLMShare, при которой злоумышленники распространяли вредоносные ссылки через функцию совместного использования чатов в ChatGPT. В новом сценарии злоумышленник может разместить в общих проектах вредоносные инструкции, которые при выполнении пользователем дадут команды, взаимодействующие с подключёнными приложениями - почтой, календарём, облачными сервисами. Тем самым атакующий получает контроль над учётной записью и доступ к корпоративным данным.

Этот случай не является единичным. В январе 2026 года специалисты "Лаборатории Касперского" сообщили о более грубой эксплуатации того же механизма: злоумышленники помещали мошеннический контент прямо в поле названия организации OpenAI - фиктивные уведомления о продлении подписки, поддельные телефонные номера для обратного звонка, ссылки на порносайты. В апреле 2026 года Cisco Talos опубликовала исследование "Platform-as-a-Proxy" (PaaS), которое задокументировало аналогичные атаки через GitHub и Jira - фишинговые приманки в сообщениях коммитов, приветственных письмах и других пользовательских полях, генерирующих уведомления от имени платформы. По оценке Talos, на пике активности около 2,89% писем, отправляемых с GitHub в день, были связаны с таким типом злоупотребления.

Оборонная задача усложняется тем, что "отравленные тенанты" используют полностью легитимный функционал платформ. Нет вредоносного URL, поддельного домена или вложения для сканирования. Письмо является подлинным по всем техническим признакам. Тем не менее существуют практические меры защиты. Прежде всего, организациям необходим инструментарий для мониторинга членства сотрудников в SaaS-организациях - будь то через телеметрию браузера, журналы провайдера идентификации или API самих платформ. Стандартное обучение фишингу неэффективно против таких атак, поскольку письма не являются фишингом в классическом понимании. Сотрудников следует научить проверять любое приглашение в организацию через внутренний канал связи. В отдельных случаях можно зарегистрировать название своей компании на платформе заранее, чтобы заблокировать его использование злоумышленниками, но не все SaaS-сервисы предотвращают создание множества тенантов с одинаковым именем.

Вендорам платформ следует усилить контроль за приглашениями: требовать верификацию домена перед использованием названия организации в письмах, добавлять более заметные предупреждения, а также позволять корпоративным заказчикам ограничивать, в какие организации могут вступать их сотрудники. Push Security отмечает, что в 2023 году их метод "отравленного тенанта" был теоретической атакой, которую не наблюдали в реальной эксплуатации. Сегодня та же компания испытала её на себе. Распространение SaaS-платформ, особенно AI-инструментов, которые становятся центральными рабочими хабами, создаёт обширную поверхность атаки, которую большинство служб безопасности до сих пор не мониторит.

Индикаторы компрометации

Email

  • adam.bateman_928@faeththeraputics.email
  • amelindashaffer99495@gmail.com
  • phamvankim2133@gmail.com

Комментарии: 0