Нова Linux „задна врата“ PamDOORa користи PAM модули за кражба на SSH лозинки

Истражувачи за сајбер безбедност открија детали за нов Linux backdoor наречен PamDOORa, кој се рекламира на рускиот сајбер-криминален форум Rehub за 1.600 долари од страна на хакер познат како „darkworm“.

Овој backdoor е дизајниран како алатка за пост-експлоатација базирана на PAM (Pluggable Authentication Module), која овозможува постојан SSH пристап преку „магична“ лозинка и специфична TCP порта. Исто така може да краде лозинки и кориснички податоци од сите легитимни корисници кои се најавуваат на компромитираниот систем.

„Алатката наречена PamDOORa е нов backdoor базиран на PAM, дизајниран да служи како пост-експлоатациска задна врата, овозможувајќи автентикација на сервери преку OpenSSH“, изјави истражувачот Assaf Morag од Flare.io во технички извештај. „Наводно, таа останува трајно присутна на Linux системи (x86_64).“

PamDOORa е втор Linux backdoor што го таргетира PAM системот, по Plague. PAM е безбедносна рамка во Unix/Linux оперативните системи која им овозможува на систем администраторите да додаваат повеќе механизми за автентикација или да ги менуваат (на пример, премин од лозинки кон биометриска најава) преку модули што може да се приклучуваат, без потреба од препишување на постоечките апликации.

Бидејќи PAM модулите најчесто работат со root привилегии, компромитиран, лошо конфигуриран или злонамерен модул може да претставува сериозен безбедносен ризик и да овозможи кражба на лозинки и неовластен пристап.

„Иако има свои предности, модуларноста на PAM носи и ризици, бидејќи злонамерни измени во PAM модулите можат да создадат задни врати или да крадат кориснички лозинки, особено затоа што PAM не ги чува лозинките туку ги пренесува како обичен текст“, изјави Group-IB во септември 2024 година.

„Модулот pam_exec, кој овозможува извршување на надворешни команди, може да биде злоупотребен од напаѓачи за добивање неовластен пристап или воспоставување трајна контрола преку вметнување злонамерни скрипти во PAM конфигурациските фајлови.“

Сингапурската безбедносна компанија исто така објасни како е можно да се манипулира со PAM конфигурацијата за SSH автентикација со цел да се изврши скрипта преку pam_exec, што практично му овозможува на напаѓачот да добие привилегирана shell-конзола на системот и да воспостави скриена, долготрајна контрола.

Најновите наоди од Flare.io покажуваат дека PamDOORa, покрај кражбата на лозинки, содржи и анти-форензички функции кои систематски ги менуваат логовите за автентикација со цел да се избришат трагите од злонамерната активност.

Иако засега нема докази дека малициозниот софтвер бил употребен во реални напади, најверојатното сценарио за инфекција вклучува напаѓачот прво да добие root пристап до системот преку некој друг метод, а потоа да го инсталира PAM модулот PamDOORa за да краде лозинки и да воспостави постојан SSH пристап.

Откако првично бил понуден за 1.600 долари на 17 март 2026 година, хакерот „darkworm“ подоцна ја намалил цената за речиси 50%, на 900 долари до 9 април, што може да укажува или на слаб интерес од купувачи или на обид побрзо да се продаде алатката.

„PamDOORa претставува еволуција во однос на постоечките open-source PAM backdoor алатки“, објасни Morag. „Иако поединечните техники (PAM hooks, кражба на лозинки и манипулација со логови) се добро познати и документирани, нивната интеграција во целосен, модуларен малициозен софтвер со anti-debugging функции, мрежно-свесни тригери и pipeline за градење (builder pipeline), го приближува повеќе до професионални алатки користени од напредни оператори, отколку до едноставните proof-of-concept скрипти што најчесто се наоѓаат во јавните репозиториуми.“

Извори:

• The Hacker News – New Linux PamDOORa Backdoor Uses PAM Modules to Steal SSH Credentials The Hacker News