Unentdeckte Schadsoftware „Plague“ kapert PAM-Subsystem Hochentwickelte Backdoor bedroht Linux-Server

Anbieter zum Thema

SEPPmail - Deutschland GmbH

Mit „Plague“ ist eine bislang unentdeckte Linux-Backdoor aufgetaucht, die als manipuliertes PAM-Modul SSH-Zugänge ermöglicht und dabei keine Spuren hinterlässt. Trotz über einjähriger Verbreitung erkennt kein Antivirus die Malware. Ihre Tarnung reicht bis in Systembibliotheken und Logfiles.

Sicherheitsforscher haben mit „Plague“ eine bisher unbekannte Linux-Backdoor entdeckt, die sich direkt in das PAM-Subsystem (Pluggable Authentication Module) einklinkt. Die Malware erlaubt es Angreifern, sich unbemerkt per SSH auf kompromittierten Systemen einzuloggen – ohne Spuren zu hinterlassen. Laut Analyse wurde die Schadsoftware seit über einem Jahr auf VirusTotal hochgeladen, ohne von einem einzigen Antivirus erkannt zu werden.

Sudo

Beliebtes Linux-Tool mit kritischer Schwachstelle

Versteckt im libselinux.so.8: Kein Alarm, keine Logs, volle Kontrolle

Plague tarnt sich als legitime Systembibliothek („libselinux.so.8“) und übersteht auch Systemupdates. Die kompromittierten Binärdateien löschen Spuren interaktiver Sitzungen, verhindern das Mitschreiben von Shell-Historien und manipulieren Umgebungsvariablen wie „SSH_CONNECTION“ oder „HISTFILE“. Die Backdoor bleibt damit für herkömmliche Forensik nahezu unsichtbar. Ergänzt wird das Tarnkonzept durch statische Backdoor-Passwörter und ein ausgeklügeltes Obfuskationssystem, das Strings, Speicheradressen und Kontrollflüsse verschleiert.

Antidebugging und mehrstufige Obfuskation erschweren Analyse

Frühere Varianten setzten auf einfache XOR-Verschlüsselung, aktuelle Varianten nutzen hingegen mehrlagige Algorithmen mit KSA-/PRGA-Logik und DRBG-Techniken. Zusätzlich wird geprüft, ob die Malware unter veränderten Dateinamen ausgeführt wird oder ob Debugging-Maßnahmen wie „ld.so.preload“ aktiv sind – in solchen Fällen beendet sich das Programm. Ein angepasster Deobfuscator musste für die Analyse entwickelt werden, da klassische Werkzeuge versagten.

Chinesische Hacker nutzen Malware

Angriffe auf Linux mit Snowlight und VShell

Kompromittierung per statischem Passwort

Jede Plague-Variante enthält ein fest eingebautes Passwort, mit dem sich der Angreifer jederzeit Zugriff verschaffen kann – darunter Zeichenfolgen wie „changeme“, „IpV57KNK32Ih“ oder „Mvi4Odm6tld7“. Die Authentifizierung läuft über die manipulierte PAM-Komponente, die das Passwort erkennt und den Zugriff ohne Standardmechanismen genehmigt. Die gesamte SSH-Sitzung wird dabei aus Logs und Umgebung entfernt.

Lange aktive Entwicklung und kein öffentliches Bewusstsein

Mehrere Proben belegen, dass Plague über einen längeren Zeitraum weiterentwickelt wurde. Kompilierungsartefakte zeigen Versionen von GCC unter Debian, Ubuntu und Red Hat. Einige Binärdateien wurden im Februar 2025 noch mit Debug-Metadaten hochgeladen, andere stammen bereits aus 2024. Hinweise auf eine Verbreitung in freier Wildbahn gibt es bislang nicht. Ein Sample trägt den Namen „hijack“ – möglicherweise ein Indiz auf den Ursprung der Malware.

WolfsBane-Malware

Chinesische Hacker bauen Backdoors in Linux ein

YARA-Regel veröffentlicht – Detection bleibt schwierig

Das Forscherteam von Nextron hat eine erste YARA-Regel zur Identifikation von Plague veröffentlicht, die anhand spezifischer String-Muster wie „decrypt_phrase“ oder „init_phrases“ arbeitet. Die Bedrohung verdeutlicht die Risiken manipulierter PAM-Module, wie sie bereits in anderen Studien („Stealth in 100 Lines“) beschrieben wurden. Die tiefe Verankerung in der Authentifizierungsschicht macht Plague besonders gefährlich für Server mit langer Betriebsdauer und hohem Verfügbarkeitsanspruch.

Kernel-Härtung, Überwachung und Sandboxing erhöhen die Sicherheit

So verbessern Sie die Sicherheit Ihrer Linux-Systeme

(ID:50508903)