SecBoard
Zurück zur Übersicht
ManagerRed-TeamerAD & Identity

New Linux PamDOORa Backdoor Uses PAM Modules to Steal SSH Credentials

The Hacker News·
Originalartikel lesen bei The Hacker News

Cybersecurity researchers have disclosed details of a new Linux backdoor named PamDOORa that's being advertised on the Rehub Russian cybercrime forum for $1,600 by a threat actor called "darkworm." The backdoor is designed as a Pluggable Authentication Module (PAM)-based post-exploitation toolkit...

Kurzfassung

Forscher haben Details zu einer neuen Linux-Backdoor namens PamDOORa veröffentlicht. Sie wird im russischen Cybercrime-Forum Rehub für 1.600 US-Dollar von einem Akteur namens darkworm beworben. Die Backdoor ist als PAM-basiertes Post-Exploitation-Toolkit konzipiert.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Linux-Systeme mit PAM; konkrete Distributionen oder Opfer sind nicht im Artikel angegeben.

Warum relevant

Eine PAM-basierte Backdoor kann Authentifizierungsprozesse missbrauchen und nach einer Kompromittierung Credential-Zugriff oder Persistenz ermöglichen.

Realistisches Worst Case

Nach initialer Kompromittierung wird PamDOORa als PAM-Modul eingesetzt und ermöglicht verdeckten Zugriff oder Diebstahl von SSH-Zugangsdaten.

Handlungsempfehlung

PAM-Konfigurationen und Module auf nicht autorisierte Änderungen prüfen, SSH-Authentifizierungslogs kontrollieren und Integritätsüberwachung für PAM-Dateien aktivieren.

Defensive Validierung / Purple-Team Checks
  • Defensiver Check: PAM-Modulverzeichnisse auf unbekannte oder kürzlich geänderte Module prüfen.
  • Defensiver Check: PAM-Konfigurationsdateien auf unautorisierte Einträge kontrollieren.
  • Defensiver Check: SSH-Login- und Authentifizierungslogs auf ungewöhnliche erfolgreiche oder fehlgeschlagene Anmeldungen prüfen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Credential AccessT1556.003 Modify Authentication Process: Pluggable Authentication ModulesHighDer Artikel beschreibt PamDOORa als PAM-basiertes Post-Exploitation-Toolkit.
Credential AccessT1056 Input CaptureLowDer Titel nennt den Diebstahl von SSH-Zugangsdaten; technische Details sind im Artikelauszug nicht enthalten.
Offene Punkte
  • Konkrete Verbreitungswege und IOCs sind nicht im Artikel angegeben.
  • Betroffene Distributionen und Versionen sind nicht im Artikel angegeben.
  • Details zur Funktionalität nach dem abgeschnittenen Artikeltext sind nicht im Artikel angegeben.

MITRE ATT&CK Kill Chain (1 Techniken)

Reconnaissance
T1589.001

Credentials

Vollständigen Artikel lesen bei The Hacker News

Verwandte Artikel

Webinar: Fixing the gaps in network incident response

BleepingComputer·vor 34 Minuten

Microsoft Patches 137 Vulnerabilities

SecurityWeek·vor etwa 2 Stunden

Exaforce Raises $125 Million for Agentic SOC Platform

SecurityWeek·vor etwa 3 Stunden

Škoda warns of customer data breach after online shop hack

BleepingComputer·vor etwa 3 Stunden

Adobe Patches 52 Vulnerabilities in 10 Products

SecurityWeek·vor etwa 4 Stunden