باب خلفي (backdoor) سميتو PamDOORa كيتباع فمنتدى روسي كيعطي وصول دائم للـ SSH وكيسرق بيانات الاعتماد

خلاصة — واحد الباب خلفي (backdoor) ديال Linux سميتو PamDOORa كيتباع فمنتدى Rehub الروسي ديال الجرائم السيبرانية. واحد المهاجم سميتو "darkworm" حاطو للبيع بـ 900 دولار (نقص ليه التمن من 1,600 دولار). هاد الباب الخلفي كيستغل الـ Pluggable Authentication Modules (PAM) باش يخلي وصول دائم للـ SSH، يجمع بيانات اعتماد، ويلعب في السجلات (logs) ديال المصادقة. لحد الآن ماكاين حتى شي تأكيد باللي تخدم فشي هجمات حقيقية.

أشنو واقع

باحثين أمنيين فـ Flare.io وثقو باب خلفي (backdoor) جديد ديال Linux سميتو PamDOORa، كيتروج فمنتدى الجرائم السيبرانية الروسي Rehub. المهاجم اللي مسمي راسو "darkworm" حط الأداة للبيع فالأول بـ 1,600 دولار نهار 17 مارس 2026، ومن بعد طيح التمن بـ 50% تقريبا لـ 900 دولار نهار 9 أبريل 2026.

PamDOORa مصمم كأداة ديال ما بعد الاختراق (post-exploitation) معتمدة على الـ PAM. على حساب الباحث الأمني فـ Flare.io سميتو Assaf Morag، هاد الباب الخلفي كيخلي المهاجم يتكونيكطا للسيرفورات على طريق OpenSSH ومقاد باش يبقى مخبي وخدام للديوام فأنظمة Linux x86_64. الأداة كتخدم فاش كتعطيها واحد كلمة المرور السحرية (magic password) مع واحد البور TCP محدد باش تعطيك دخول SSH للأنظمة المخترقة.

من غير انه كيعطي الوصول، PamDOORa يقدر يجمع بيانات اعتماد من عند ڭاع المستخدمين الشرعيين اللي كيتكونيكطاو للسيرفور المخترق. هاد الباب الخلفي فيه تا تقنيات ضد التحليل الجنائي (anti-forensic) كتمكنو من التلاعب بسجلات المصادقة ويمسح الأثر ديال أي نشاط خبيث.

شركة Group-IB كانت وثقات قبل فشهر شتنبر 2024 كيفاش الاستعمال الغالط ديال PAM يقدر يخلق ثغرات أمنية. بحيث أن الـ module اللي سميتو pam_exec، واللي كيسمح بتشغيل أوامر خارجية، يقدر يتستغل باش يتزرعو سكربتات خبيثة فملفات الإعدادات ديال PAM. كيجي PamDOORa من مور واحد العائلة قديمة ديال البيبان الخلفية (backdoors) معتمدة حتى هي على PAM سميتها Plague، وهادشي كيخليه يكون تاني باب خلفي (backdoor) معروف ديال Linux كيستهدف الـ stack ديال PAM.

الكاتب Morag وصف PamDOORa بلي هو تطور للبيبان الخلفية (open-source PAM backdoors) اللي كاينا دابا. وخا تقنيات بحال PAM hooks، سريقت بيانات اعتماد، و تزوير السجلات معروفين، الجمع ديالهم فبرمجية خبيثة (modular implant) فيها قدرات ديال anti-debugging وتفاعلات مع الشبكة، كيبين بلي هاد الأداة متطورة بزاف على سكربتات إثبات المفهوم (proof-of-concept) العادية اللي منشورة للعموم.

علاش هادشي مهم

الـ PAM هو إطار عمل (framework) أساسي ديال المصادقة فأنظمة Unix و Linux. الـ modules ديال PAM كيخدمو بصلاحيات root من عند الديزاين الأصلي، وهادشي كيعطي للـ sysadmins الحق يطبقو بزاف ديال ميكانيزمات المصادقة بلا ما يحتاجو يعاودو يكتبو التطبيقات من جديد. هاد القوة فالبنية كترجع نقطة ضعف خطيرة يلا تم اختراق شي module ديال PAM ولا كان خبيث.

بالنسبة للمدافعين و مسؤولي الأنظمة، هاد PamDOORa كيبين مساحة هجوم مباشرة: يلا مهاجم قدر ياخد وصول root لشي نظام Linux، يقدر يخدم module ديال PAM خبيث باش يسرق ڭاع بيانات اعتماد اللي كيدخلوها المستخدمين الحقيقيين ملي كيبغيو يتكونيكطاو. هادشي كيوقع فمستوى النظام (system level)، اللي هو لتحت من أغلب ميكانيزمات الرصد اللي كاينة فمستوى التطبيق (application-layer).

القدرات التخريبية اللي ضد التحليل الجنائي (anti-forensic) كتشكل تهديد تاني لعمليات الاستجابة للحوادث (incident response). الشركات اللي كيعتمدو على سجلات (logs) مصادقة ديال SSH باش يكتشفو الوصول اللي مامسموحش بيه أو التحركات الجانبية (lateral movement)، يقدرو يلقاو باللي المسار ديالهم تمسح بلعاني، وهادشي كيعقد التحقيق فالاختراقات ومعرفة المصدر ديالها.

تخفيض التمن من 1,600 دولار لـ 900 دولار يقدر يعني إما اهتمام ناقص أو استراتيجية باش يزربو فالمبيعات. فهاد الجوج الحالات، هادشي كيعني أن الأداة غادا وكترجع متوفرة كتر فأسواق مجرمي الأنترنيت.

الأنظمة المتضررة والـ CVEs

• Linux (x86_64)
• OpenSSH
• PAM (Pluggable Authentication Modules)

ما تم تعيين حتى شي CVE فهاد الوقت.

أشنو خاصنا نديرو

• نطبّقو مراقبة صارمة لملفات الإعدادات ديال PAM (/etc/pam.d/) على قبل أي تعديلات مامسموحش بيها، وبالأخص التغييرات اللي كطرا على الإدخالات ديال module pam_exec.
• نحصرو الوصول اللي عندو صلاحية root ونفرضو مبدأ أقل الصلاحيات (least privilege) فڭاع الأنظمة وحسابات المستخدمين.
• نفعلو التسجيل (logging) الشامل ديال المصادقة والنظام باش نقدرو نكتاشفو أي محاولات دخول غريبة باستعمال SSH أو أي أنماط تسجيل دخول ماشي طبيعية.
• نراقبو الاستعمال المشبوه ديال module pam_exec فإعدادات PAM ونتأكدو من الشرعية ديال أية سكربتات خارجية تم الرجوع ليها.
• نتأكدو باللي الـ modules ديال PAM كنجيبوها غير من مصادر موثوقة ومفحوصة ونتحققو من السلامة (integrity) ديالها.

أسئلة باقة مطروحة

• واش تلاحظ PamDOORa فشي اختراقات حقيقية أو حملات ديال الهجوم.
• أشنو هما مؤشرات الاختراق (IOCs) التقنية المحددة اللي غتخلينا نقدرو نكتاشفو PamDOORa فأنظمة خدامة.
• واش نقصان الثمن من 1,600 دولار لـ 900 دولار كيبين فشل فالمبيعات أو جهد استراتيجي باش يتسرع اختراق السوق.
• أشنو هما طرق التوزيع و initial access vectors اللي يقدر يستخدم المهاجم باش ينشر PamDOORa (الوصول بصلاحيات root راه شرط ضروري، ولكن سلسلة الهجوم اللي كتوصل للـ root باقا ماتوثقاتش).
• واش الإعدادات ديال PAM المعززة (hardened) أو أدوات الكشف (endpoint detection tools) اللي كاينة دابا تقدر تبين النشاط ديال PamDOORa وتكتاشفو بطريقة موثوقة.

المصدر

New Linux PamDOORa Backdoor Uses PAM Modules to Steal SSH Credentials