サイバーセキュリティ研究者らが、ロシアのサイバー犯罪フォーラム「Rehub」で「darkworm」と名乗る攻撃者によって1,600ドルで宣伝されている、新たなLinuxバックドア「PamDOORa」の詳細を明らかにしました。  このバックドアは、Pluggable Authentication Module（PAM）ベースのポストエクスプロイトツールキットとして設計されており、マジックパスワードと特定のTCPポートの組み合わせにより、永続的なSSHアクセスを可能にします。また、侵害されたシステムを通じて認証を行うすべての正規ユーザーから認証情報を収集する能力も備えています。 「PamDOORaと呼ばれるこのツールは、OpenSSH経由でサーバーへの認証を可能にする、ポストエクスプロイトバックドアとして設計された新しいPAMベースのバックドアです」と、**Flare.io**の研究者Assaf Morag氏は技術レポートで述べています。「主張によれば、これはLinuxシステム（x86_64）上で永続性を維持するとのことです。」 ### バックドアの主要な標的となるPAM PamDOORaは、**Plague**に次いでPAMスタックを標的とする2番目のLinuxバックドアです。PAMはUnix/Linuxオペレーティングシステムにおけるセキュリティフレームワークであり、システム管理者が既存のアプリケーションを書き換えることなく、プラグ可能なモジュールを使用することで、複数の認証メカニズムを組み込んだり更新したり（例：パスワードから生体認証への切り替え）することを可能にします。 PAMモジュールは通常root権限で実行されるため、侵害された、設定ミスのある、または悪意のあるモジュールは、重大なセキュリティリスクをもたらし、認証情報窃取や不正アクセスの扉を開く可能性があります。 「その強みにもかかわらず、Pluggable Authentication Module（PAM）のモジュール性はリスクをもたらします。PAMはパスワードを保存せず、プレーンテキストで値を送信するため、PAMモジュールへの悪意のある変更はバックドアを作成したり、ユーザー認証情報を盗んだりする可能性があります」と、**Group-IB**は2024年9月に指摘しています。 「外部コマンドの実行を許可するpam_execモジュールは、攻撃者によって悪用され、PAM設定ファイルに悪意のあるスクリプトを注入することで、不正アクセスを取得したり、永続的な制御を確立したりすることができます。」  シンガポールに拠点を置くセキュリティベンダーは、SSH認証のためにPAM設定を操作し、pam_execを介してスクリプトを実行する方法についても詳述しており、これにより攻撃者はホスト上で特権シェルを取得し、ステルスな永続性を容易に確立できます。 ### PamDOORaのフォレンジック対策機能 Flare.ioからの最新の発見によると、PamDOORaは認証情報窃取を可能にするだけでなく、フォレンジック対策機能を組み込んでおり、認証ログを体系的に改ざんして悪意のあるアクティビティの痕跡を消去します。 マルウェアが実際の攻撃で使用された証拠はありませんが、マルウェアを配布する感染チェーンでは、まず攻撃者が何らかの方法でホストのrootアクセスを取得し、PamDOORa PAMモジュールを展開して認証情報をキャプチャし、SSH経由で永続的なアクセスを確立することが想定されます。 2026年3月17日に最初の提示価格1,600ドルだったものが、「darkworm」ペルソナは4月9日までに約50％引きの900ドルに値下げしており、これは買い手の関心の低さ、または販売を加速する意図を示唆しています。  「PamDOORaは、既存のオープンソースPAMバックドアからの進化を表しています」とMorag氏は説明しています。「個々の技術（PAMフック、認証情報キャプチャ、ログ改ざん）はよく文書化されていますが、デバッグ対策、ネットワーク認識トリガー、およびビルダーパイプラインを備えた、まとまりのあるモジュール式インプラントへの統合は、ほとんどの公開リポジトリで見られる粗雑な概念実証スクリプトよりも、オペレーターグレードのツールに近づいています。」