Kant's IT/Issue on IT&Security

JSPSpy 웹셸과 filebroser를 이용한 공격자 기반 웹쉘 네트워크 운영 사례 분석

Kant Jo 2025. 4. 17. 07:30

Hackers Exploiting JSPSpy To Manage Malicious Webshell Networks

 

Hackers Exploiting JSPSpy To Manage Malicious Webshell Networks

JSPSpy, developed in Java and first observed in 2013, has been utilized by various threat actors, including the Lazarus Group.

gbhackers.com

 

  • 개요
    • JSP 기반 웹셸 JSPSpy가 여러 위협 행위자에 의해 지속적으로 활용되고 있음
    • 최근 발견된 일부 JSPSpy 서버에는 filebroser라는 로그인 패널이 존재하며, 이는 오픈소스 도구 File Browser의 이름을 살짝 변경한 버전
    • 두 도구의 결합은 지속적 접근 및 사후 침해 운영(파일 탈취, 시스템 조작 등)에 악용될 가능성
  • JSPSpy 특성 및 활용 사례
    • Java 기반 GUI 웹셸로 2013년부터 알려져 있으며, Lazarus Group과 같은 고급 위협 그룹도 사용한 이력 존재
    • 시각적 인터페이스를 통해 초보자도 쉽게 시스템을 조작할 수 있으며, 파일 업로드·다운로드·편집 등의 기능을 제공
    • 최근 분석된 JSPSpy 서버는 중국 및 미국 기반 클라우드 제공업체에 분산 배치됨
      • CHINANET, Huawei Cloud, China Mobile, Multacom Corporation 등
    • 대부분 HTTP 포트(80)에서 동작하여 합법적 트래픽으로 위장
    • 일부 서버는 TLS 인증서를 보유(dgtmeta[.]com / DigiCert 발급)
  • filebroser: File Browser의 위장 버전
    • 분석된 일부 JSPSpy 서버에는 8001번 포트에서 동작하는 ‘filebroser’ 로그인 페이지 발견
    • 로그인 페이지의 타이틀 “登录 – filebroser”, favicon 등은 File Browser 프로젝트의 것과 유사
    • 배포 수량이 적고 탐지 결과가 제한되어 단일 공격자 혹은 특정 캠페인 목적 사용 가능성
    • 원본 오픈소스와 동일한 기능인지 혹은 악성으로 수정되었는지는 미확인 상태
  • 보안 권고
    • JSPSpy 탐지 포인트
      • 로그인 페이지 타이틀: “JspSpy Codz By-Ninty”
      • HTTP 헤더: Server: JSP3/2.0.14, Ohc-Cache-Hit: [랜덤 5자 문자열]
      • 정규 표현식: \b[a-zA-Z]{5}\b 등을 활용한 패턴 기반 탐지
    • filebroser 연계 탐지
      • 공통된 Ohc-Cache-Hit 헤더 존재
      • favicon, UI 구조, 포트 번호(8001) 기반 식별 가능
    • JSPSpy와 filebroser의 조합은 공격자가 내부 시스템에 상주하며 탐지 회피와 파일 관리 편의성을 추구하는 방식으로 해석됨
    • 방어자는 페이지 타이틀, HTTP 헤더, 포트 사용 패턴 등 약한 시그니처를 조합하여 탐지 정밀도를 높여야 함
  • IOC (Indicators of Compromise)
    • 124.235.147[.]90: learning.gensci-china[.]com (중국, JSPSpy 포트 80, filebroser 포트 8001)
    • 113.45.180[.]224: Huawei Cloud (중국, JSPSpy 포트 80)
    • 74.48.175[.]44: Multacom (미국, JSPSpy 포트 80, filebroser 포트 8001)
    • 22.176.159[.]209: Henan Mobile (중국, JSPSpy 포트 8888)
  • 결론
    • JSPSpy는 여전히 APT 및 일반 사이버범죄자에게 선호되는 웹쉘 도구
    • filebroser와의 연계는 파일관리 자동화 및 탐지 회피 전략의 일환으로 해석됨
    • 다계층 탐지 전략, 포트 기반 트래픽 모니터링, HTTP 헤더 기반 규칙 적용, 서버 측 웹셸 탐지 도구 적용이 필수적
    • 웹쉘 인프라가 사용자의 시스템에 상주할 경우, 장기적인 권한 탈취 및 내부 정찰로 이어질 수 있음