JSPSpy 웹셸과 filebroser를 이용한 공격자 기반 웹쉘 네트워크 운영 사례 분석

Hackers Exploiting JSPSpy To Manage Malicious Webshell Networks

Hackers Exploiting JSPSpy To Manage Malicious Webshell Networks

 

• 개요
  • JSP 기반 웹셸 JSPSpy가 여러 위협 행위자에 의해 지속적으로 활용되고 있음
  • 최근 발견된 일부 JSPSpy 서버에는 filebroser라는 로그인 패널이 존재하며, 이는 오픈소스 도구 File Browser의 이름을 살짝 변경한 버전
  • 두 도구의 결합은 지속적 접근 및 사후 침해 운영(파일 탈취, 시스템 조작 등)에 악용될 가능성
• JSPSpy 특성 및 활용 사례
  • Java 기반 GUI 웹셸로 2013년부터 알려져 있으며, Lazarus Group과 같은 고급 위협 그룹도 사용한 이력 존재
  • 시각적 인터페이스를 통해 초보자도 쉽게 시스템을 조작할 수 있으며, 파일 업로드·다운로드·편집 등의 기능을 제공
  • 최근 분석된 JSPSpy 서버는 중국 및 미국 기반 클라우드 제공업체에 분산 배치됨
    • CHINANET, Huawei Cloud, China Mobile, Multacom Corporation 등
  • 대부분 HTTP 포트(80)에서 동작하여 합법적 트래픽으로 위장
  • 일부 서버는 TLS 인증서를 보유(dgtmeta[.]com / DigiCert 발급)
• filebroser: File Browser의 위장 버전
  • 분석된 일부 JSPSpy 서버에는 8001번 포트에서 동작하는 ‘filebroser’ 로그인 페이지 발견
  • 로그인 페이지의 타이틀 “登录 – filebroser”, favicon 등은 File Browser 프로젝트의 것과 유사
  • 배포 수량이 적고 탐지 결과가 제한되어 단일 공격자 혹은 특정 캠페인 목적 사용 가능성
  • 원본 오픈소스와 동일한 기능인지 혹은 악성으로 수정되었는지는 미확인 상태
• 보안 권고
  • JSPSpy 탐지 포인트
    • 로그인 페이지 타이틀: “JspSpy Codz By-Ninty”
    • HTTP 헤더: Server: JSP3/2.0.14, Ohc-Cache-Hit: [랜덤 5자 문자열]
    • 정규 표현식: \b[a-zA-Z]{5}\b 등을 활용한 패턴 기반 탐지
  • filebroser 연계 탐지
    • 공통된 Ohc-Cache-Hit 헤더 존재
    • favicon, UI 구조, 포트 번호(8001) 기반 식별 가능
  • JSPSpy와 filebroser의 조합은 공격자가 내부 시스템에 상주하며 탐지 회피와 파일 관리 편의성을 추구하는 방식으로 해석됨
  • 방어자는 페이지 타이틀, HTTP 헤더, 포트 사용 패턴 등 약한 시그니처를 조합하여 탐지 정밀도를 높여야 함
• IOC (Indicators of Compromise)
  • 124.235.147[.]90: learning.gensci-china[.]com (중국, JSPSpy 포트 80, filebroser 포트 8001)
  • 113.45.180[.]224: Huawei Cloud (중국, JSPSpy 포트 80)
  • 74.48.175[.]44: Multacom (미국, JSPSpy 포트 80, filebroser 포트 8001)
  • 22.176.159[.]209: Henan Mobile (중국, JSPSpy 포트 8888)
• 결론
  • JSPSpy는 여전히 APT 및 일반 사이버범죄자에게 선호되는 웹쉘 도구
  • filebroser와의 연계는 파일관리 자동화 및 탐지 회피 전략의 일환으로 해석됨
  • 다계층 탐지 전략, 포트 기반 트래픽 모니터링, HTTP 헤더 기반 규칙 적용, 서버 측 웹셸 탐지 도구 적용이 필수적
  • 웹쉘 인프라가 사용자의 시스템에 상주할 경우, 장기적인 권한 탈취 및 내부 정찰로 이어질 수 있음