Kötü niyetli webshell ağlarını yönetmek için jspspy’den yararlanan bilgisayar korsanları

Siber güvenlik araştırmacıları son zamanlarda, açık kaynaklı dosya tarayıcısı dosya yönetim aracının yeniden markalı bir sürümü olan beklenmedik bir ek olan FileBroser içeren bir JSPSPY Web Kabuk sunucuları kümesini belirlediler.

Bu keşif, saldırganların meşru altyapıya karışırken kalıcı erişim ve kontratür sonrası işlemler için web mermilerinden nasıl yararlanmaya devam ettiklerine ışık tutuyor.

Webshell altyapısı ile jspspy

Java’da geliştirilen ve ilk olarak 2013’te gözlemlenen JSPSPY, bir araştırma organizasyonunu hedeflediği bildirilen Lazarus Grubu da dahil olmak üzere çeşitli tehdit aktörleri tarafından kullanılmıştır.

Web kabuğu, uzaktan erişim ve dosya yönetimi için grafiksel bir arayüz sağlar, bu da onu deneyimsiz operatörler için bile erişilebilir hale getirir.

Son analizler, Çin ve Amerika Birleşik Devletleri’ndeki birden fazla sağlayıcıda JSPSPY’ye ev sahipliği yapan dört sunucuyu ortaya çıkardı.

Bunlar arasında Chinanet Jilin Eyalet Ağı, Huawei Public Bulut Servis Teknolojileri, China Mobile Communications Corporation ve MultaCom Corporation bulunmaktadır.

Çoğu sunucu, meşru HTTP trafiğiyle karışmak için 80 numaralı bağlantı noktasında çalışır, ancak Çin’de bir örnek 8888 bağlantı noktasını kullanır.

Özellikle, bir sunucu (124.235.147[.]90) dgtmeta için digicert tarafından verilen bir TLS sertifikasına ev sahipliği yapıyor[.]com, ilk olarak Eylül 2024’te gözlemlendi ve hala Mart 2025 itibariyle aktif.

Daha fazla araştırma, iki sunucuda (124.235.147[.]90 ve 74.48.175[.]44).

Bu panel, 8001 bağlantı noktasında çalışır ve amaç ve potansiyel değişiklikler hakkında sorular sorarak meşru dosya tarayıcı projesine yakından benzemektedir.

FileBroser paneli, adı değişen ve aynı favicon orijinal projeden korunmuş olan açık kaynaklı dosya tarayıcı aracının biraz değiştirilmiş bir sürümü gibi görünüyor.

Giriş sayfası için “登录 – FileBroser” (“Giriş – FileBroser” olarak çevrilen) başlıklı İnternet taramaları, ondan daha az sonuç verdi, bu da tek bir operatöre özgü sınırlı konuşlandırmayı gösterdi.

FileBroser’ın açık kaynaklı muadiliyle aynı şekilde çalışıp çalışmadığı veya kötü niyetli amaçlar için değiştirilmiş olup olmadığı belirsizliğini korumakla birlikte, JSPSPY’nin yanında varlığı, tehdit aktörleri için operasyonel bir araç olarak hizmet edebileceğini düşündürmektedir.

Her iki araç da, savunucuların algılama sorgularını rafine etmesine yardımcı olabilecek rastgele beş karakterli dizeler içeren “OHC-Cache-hit” alanı gibi üst üste binen HTTP başlıklarını paylaşıyor.

Savunucular için tespit stratejileri

JSPSPY sunucularının tanımlanması, tutarlı oturum açma sayfası başlıkları (“JSPSPY CODZ by-ninty”) veya “Sunucu: JSP3/2.0.14” ve “OHC-CACHE-HIT” gibi HTTP yanıt başlıkları ile elde edilebilir.

Büyük ölçekli aramalar için Regex Desenleri (\ B[a-zA-Z]{5} \ b) bu ​​başlıkları etkili bir şekilde tespit etmek için uygulanabilir.

JSPSPY ve FileBroser arasındaki örtüşme, kötü niyetli aktiviteyi izlemek için ek göstergeler sağlar.

Sayfa başlıkları, HTTP başlıkları ve yanıt davranışları gibi zayıf sinyalleri birleştirmek, savunucuların saldırgan altyapısına görünürlüğü güçlendirmesini sağlar.

JSPSPY gibi web mermileri, düşük ayak izleri ve meşru ortamlara karışma yetenekleri nedeniyle siber suçlular için tercih edilen bir araç olarak kalıyor.

Bu dağıtımları proaktif olarak izlemek, saldırgan davranışını anlamak ve tehditleri azaltmak için çok önemlidir.

Uzlaşma Göstergeleri (IOCS)

Bu gelişme, gelişen siber tehditlere etkili bir şekilde karşı koymak için katmanlı tespit stratejilerinin öneminin altını çizmektedir.

SOC/DFIR ekiplerinden misiniz?: Kötü amaçlı yazılım olaylarını analiz edin ve any.run -> şimdi ücretsiz başlayın.