2025年8月2日Ravie Lakshmanan脅威検知 / SSHセキュリティ
サイバーセキュリティ研究者は、これまで文書化されていなかったLinux向けバックドア「Plague」を警告しており、これは1年間検知を回避してきました。
「このインプラントは悪意のあるPAM(Pluggable Authentication Module:プラグイン認証モジュール)として構築されており、攻撃者がシステム認証を密かにバイパスし、永続的なSSHアクセスを得ることを可能にします」とNextron Systemsの研究者Pierre-Henri Pezierは述べています。
プラグイン認証モジュール(PAM)は、LinuxやUNIX系システムにおいて、アプリケーションやサービスへのユーザー認証を管理するために使用される共有ライブラリ群を指します。
PAMモジュールは特権認証プロセスにロードされるため、不正なPAMはユーザー認証情報の窃取や認証チェックのバイパスを可能にし、セキュリティツールによる検知を回避することができます。
このサイバーセキュリティ企業は、2024年7月29日以降にVirusTotalへアップロードされた複数のPlagueアーティファクトを発見したと述べており、いずれもアンチマルウェアエンジンによって悪意のあるものとは検知されていません。さらに、複数のサンプルが存在することは、背後にいる未知の脅威アクターによるマルウェアの活発な開発を示しています。
Plagueには、隠密アクセスを可能にする静的認証情報、アンチデバッグや文字列難読化による解析・リバースエンジニアリング耐性、SSHセッションの証拠を消去することで強化されたステルス性、という4つの顕著な特徴があります。
これは、unsetenvを用いてSSH_CONNECTIONやSSH_CLIENTなどの環境変数を解除し、HISTFILEを/dev/nullにリダイレクトしてシェルコマンドの記録を防ぐことで、監査証跡を残さないように実現されています。
「Plagueは認証スタックに深く統合されており、システムアップデートにも耐え、ほとんどフォレンジック上の痕跡を残しません」とPezier氏は指摘します。「多層的な難読化や環境改ざんと組み合わさることで、従来のツールによる検知を非常に困難にしています。」
翻訳元: https://thehackernews.com/2025/08/new-plague-pam-backdoor-exposes.html