Neue Linux-Backdoor PamDOORa missbraucht PAM-Module zum Diebstahl von SSH-Zugangsdaten

Zusammenfassung

Sicherheitsforscher haben Details zu einer neuen Linux-Backdoor namens PamDOORa veröffentlicht, die im russischsprachigen Cybercrime-Forum Rehub angeboten wird. Hinter dem Verkauf steht ein Akteur, der unter dem Namen „darkworm" auftritt und zunächst 1.600 US-Dollar verlangte. Laut dem Flare.io-Forscher Assaf Morag handelt es sich um ein PAM-basiertes Werkzeug für die Phase nach einem erfolgreichen Einbruch, das dauerhaften SSH-Zugriff über OpenSSH ermöglichen soll. Den Angaben zufolge bleibt die Schadsoftware auf Linux-Systemen der Architektur x86_64 persistent. PamDOORa nutzt eine Kombination aus einem „magischen" Passwort und einem bestimmten TCP-Port, um Angreifern verdeckten Zugang zu verschaffen. Zugleich kann das Werkzeug die Zugangsdaten sämtlicher legitimer Nutzer abgreifen, die sich über das kompromittierte System authentifizieren. Es ist nach Plague die zweite bekannte Linux-Backdoor, die gezielt den PAM-Stack ins Visier nimmt. Bislang gibt es keine Hinweise, dass die Schadsoftware bereits in realen Angriffen eingesetzt wurde.

PAM (Pluggable Authentication Modules) ist ein Sicherheitsframework in Unix- und Linux-Systemen, das es Administratoren erlaubt, verschiedene Authentifizierungsverfahren über austauschbare Module einzubinden oder zu ändern – etwa den Wechsel von Passwörtern zu biometrischen Verfahren –, ohne bestehende Anwendungen neu schreiben zu müssen. Da PAM-Module in der Regel mit Root-Rechten laufen, kann ein kompromittiertes, fehlkonfiguriertes oder bösartiges Modul erhebliche Risiken schaffen und den Weg für das Abgreifen von Zugangsdaten und unbefugten Zugriff ebnen.

Auf diese Gefahr hatte bereits Group-IB im September 2024 hingewiesen. Die Modularität von PAM berge Risiken, da bösartige Änderungen an Modulen Hintertüren schaffen oder Zugangsdaten stehlen könnten – zumal PAM keine Passwörter speichere, sondern Werte im Klartext übertrage. Der singapurische Sicherheitsanbieter beschrieb, wie sich das Modul pam_exec, das die Ausführung externer Befehle erlaubt, ausnutzen lässt: Angreifer können bösartige Skripte in PAM-Konfigurationsdateien einschleusen, um unbefugten Zugang zu erlangen oder dauerhafte Kontrolle aufzubauen. So lasse sich die PAM-Konfiguration für die SSH-Authentifizierung so manipulieren, dass über pam_exec ein Skript ausgeführt und eine privilegierte Shell auf dem Host erlangt wird.

Die Erkenntnisse von Flare.io zeigen, dass PamDOORa über den reinen Diebstahl von Zugangsdaten hinausgeht: Das Werkzeug verfügt über Anti-Forensik-Funktionen und manipuliert gezielt Authentifizierungsprotokolle, um Spuren der schädlichen Aktivität zu beseitigen. Ein typischer Infektionsablauf dürfte laut Flare.io damit beginnen, dass sich der Angreifer zunächst auf anderem Weg Root-Zugriff auf den Host verschafft und anschließend das PamDOORa-Modul einsetzt, um Zugangsdaten abzufangen und dauerhaften Zugriff über SSH zu sichern.

Den ursprünglichen Preis von 1.600 US-Dollar am 17. März 2026 senkte der Akteur „darkworm" bis zum 9. April um fast die Hälfte auf 900 US-Dollar. Das deute laut Flare.io entweder auf mangelndes Käuferinteresse oder auf die Absicht hin, den Verkauf zu beschleunigen.

Morag ordnet PamDOORa als Weiterentwicklung bestehender quelloffener PAM-Backdoors ein. Zwar seien die einzelnen Techniken – PAM-Hooks, das Abgreifen von Zugangsdaten und das Manipulieren von Protokollen – gut dokumentiert. Die Integration zu einem geschlossenen, modularen Implantat mit Anti-Debugging, netzwerkbewussten Auslösern und einer Builder-Pipeline rücke das Werkzeug jedoch näher an professionelle Angreifer-Software als an die einfachen Machbarkeitsskripte, die in den meisten öffentlichen Repositorys zu finden seien.

Neue Linux-Backdoor PamDOORa missbraucht PAM-Module zum Diebstahl von SSH-Zugangsdaten

Ähnliche Artikel

Neueste Artikel