新たに発見されたバックドア「 バッド・スペース 」、ロシアの攻撃者が背後に？

セキュリティメディア「Security Week」によると新たなバックドアが発見されたそうです。名前は「バッド・スペース（BadSpace）」であり、今まで主にはワードプレスのウェブサイトから見つかっています。セキュリティ企業のGDataによると、バッド・スペースはSocGholishというマルウェアと類似であり、まだ明確な連関性は見つからなかったそうです。偽ブラウザのアップデートアラートを通じて被害者のシステムに設置されますが、他の侵入手法も活用していて防御はややこしいです。バッド・スペースと連結された3つのC＆Cサーバーが発見され、まだ正確な被害規模は確認されていません。

SocGholishはロシアのハッカーグループのEvil Corpが以前から使用してきた高級のマルウェアの中の一つです。その以外に最初アクセスブロッカー（IAB）に該当するグループであるExotic LilyもSocGholishを使用することが見つかったことがあります。バッド・スペースにはサンドボックス回避機能もあり、検知や分析が難しいそうです。

GDataの関係者は、「被害者のシステムにはスケジューラを悪用して攻撃の持続性を確保することが普通です。各種システム情報を掘り出し、C＆Cサーバーに送ります。攻撃者はこれを活用し、後続の攻撃を準備すると予想されます。」と言いました。