PamDOORa: Backdoor para Linux
Investigadores de ciberseguridad han revelado detalles de una nueva puerta trasera para Linux llamada PamDOORa, que un actor malicioso conocido como "darkworm" anuncia en el foro ruso de ciberdelincuencia Rehub por 1600 dólares.
Esta puerta trasera está diseñada como un kit de herramientas de post-explotación basado en el Módulo de Autenticación Conectable (PAM) que permite el acceso persistente a SSH mediante una contraseña mágica y una combinación específica de puerto TCP. También es capaz de obtener las credenciales de todos los usuarios legítimos que se autentiquen a través del sistema comprometido.
"La herramienta, llamada PamDOORa, es una nueva puerta trasera basada en PAM, diseñada para funcionar como puerta trasera de post-explotación, permitiendo la autenticación en servidores a través de OpenSSH", afirmó Assaf Morag, investigador de Flare.io, en un informe técnico. "Supuestamente, permanecería activa en sistemas Linux (x86_64)".
PamDOORa es la segunda puerta trasera para Linux que ataca la pila PAM, después de Plague. PAM es un marco de seguridad en los sistemas operativos Unix/Linux que permite a los administradores de sistemas incorporar o actualizar múltiples mecanismos de autenticación (por ejemplo, pasando de contraseñas a datos biométricos) en un sistema existente mediante módulos conectables, sin necesidad de reescribir las aplicaciones existentes.
Dado que los módulos PAM suelen ejecutarse con privilegios de administrador, un módulo comprometido, mal configurado o malicioso puede introducir riesgos de seguridad significativos y abrir la puerta al robo de credenciales y al acceso no autorizado.
"A pesar de sus ventajas, la modularidad del Módulo de Autenticación Conectable (PAM) introduce riesgos, ya que las modificaciones maliciosas de los módulos PAM pueden crear puertas traseras o robar credenciales de usuario, especialmente porque PAM no almacena contraseñas, sino que transmite valores en texto plano", señaló Group-IB en septiembre de 2024.
Quasar Linux roba credenciales de desarrolladores para comprometer la cadena de suministro de software.
Un implante de Linux hasta ahora desconocido, con nombre en clave Quasar Linux RAT (QLNX), ataca los sistemas de los desarrolladores para establecer una presencia silenciosa y facilitar una amplia gama de funcionalidades posteriores a la intrusión, como la obtención de credenciales, el registro de pulsaciones de teclas, la manipulación de archivos, la monitorización del portapapeles y la creación de túneles de red.
"QLNX ataca las credenciales de desarrolladores y de DevOps en toda la cadena de suministro de software", afirmaron los investigadores de Trend Micro, Aliakbar Zahravi y Ahmed Mohamed Ibrahim, en un análisis técnico del malware.
Su recolector de credenciales extrae información confidencial de archivos de alto valor como .npmrc (tokens de npm), .pypirc (credenciales de PyPI), .git-credentials, .aws/credentials, .kube/config, .docker/config.json, .vault-token, credenciales de Terraform, tokens de GitHub CLI y archivos .env. La vulneración de estos recursos podría permitir al atacante distribuir paquetes maliciosos a los registros de NPM o PyPI, acceder a la infraestructura en la nube o manipular los flujos de trabajo de CI/CD.
La capacidad del malware para recopilar sistemáticamente una amplia gama de credenciales representa un grave riesgo para los entornos de desarrollo. Un atacante que implemente QLNX con éxito contra el mantenedor de un paquete obtiene acceso no autorizado a su canalización de publicación, lo que le permite distribuir versiones infectadas que pueden provocar una cascada de consecuencias negativas.
QLNX se ejecuta sin archivos desde la memoria, se hace pasar por un hilo del kernel (por ejemplo, kworker o ksoftirqd) y es capaz de perfilar el host para detectar entornos en contenedores, borrar los registros del sistema para ocultar rastros y establecer persistencia mediante al menos siete métodos diferentes, incluyendo systemd, crontab e inyección de shell en .bashrc.
Además, extrae los datos recopilados a una infraestructura controlada por el atacante y recibe comandos que permiten ejecutar comandos de shell, gestionar archivos, inyectar código en procesos, tomar capturas de pantalla, registrar pulsaciones de teclas, establecer proxies SOCKS y túneles TCP, ejecutar archivos de objeto Beacon (BOF) e incluso gestionar una red mallada peer-to-peer (P2P).
Se desconoce la forma exacta en que se distribuye el malware. Sin embargo, una vez establecido el acceso, entra en una fase operativa primaria ejecutando un bucle persistente que intenta continuamente establecer y mantener comunicación con el servidor de comando y control (C2) a través de TCP, HTTPS y HTTP sin cifrar. En total, QLNX admite 58 comandos distintos que otorgan a los operadores control total del host comprometido.
QLNX también incluye una puerta trasera de gancho en línea para el Módulo de Autenticación Conectable (PAM) que intercepta las credenciales en texto plano durante los eventos de autenticación, registra los datos de la sesión SSH saliente y los transmite al servidor C2. El malware también admite un segundo registrador de credenciales basado en PAM que se carga automáticamente en cada proceso vinculado dinámicamente para extraer el nombre del servicio, el nombre de usuario y el token de autenticación.
Emplea una arquitectura de rootkit de dos niveles: un rootkit en espacio de usuario desplegado a través del mecanismo LD_PRELOAD del enlazador dinámico de Linux para garantizar que los artefactos y procesos del implante permanezcan ocultos. También existe un componente eBPF a nivel de kernel que utiliza el subsistema BPF para ocultar procesos, archivos y puertos de red a herramientas estándar de espacio de usuario como ps, ls y netstat al recibir instrucciones del servidor C2.
No comments:
Post a Comment
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!