Угроза кибербезопасности: новые методы обхода защиты JSPSpy
Недавнее исследование выявило использование модифицированного инструмента под названием Filebroser в серверах JSPSpy web shell. Эта ребрендированная версия файлового браузера с открытым исходным кодом наводит на мысли об усилении мер по избеганию обнаружения хакерами. Основная функция этого инструмента варьируется от обеспечения постоянного доступа к данным до управления файлами в скомпрометированных системах.
История и применение JSPSpy
JSPSpy, разработанный на языке Java и впервые упомянутый в 2013 году, активно использовался различными группами хакеров, включая notorious группу Lazarus, подозреваемую в атаках на исследовательские организации. Анализ был сосредоточен на инфраструктуре хостинга, где были идентифицированы четыре сервера с одинаковым названием веб-страницы, распределенные среди нескольких хостинг-провайдеров как в Китае, так и в Соединенных Штатах.
Характеристики хостинговой инфраструктуры
Сервера JSPSpy обычно работают через порт 80 для обеспечения связи с законным HTTP-трафиком, в то время как один из серверов использует порт 8888. Мониторинг веб-оболочек на нестандартных портах может выявить аналогичные вредоносные настройки. Из четырех проанализированных серверов только один имеет действующий сертификат TLS от DigiCert, впервые обнаруженный в середине сентября 2024 года. Этот сервер, расположенный по адресу 124.235.147.90, на короткое время разрешил доступ к легитимному домену, что вызвало подозрения о возможных сетевых сбоях или неправильных настройках.
Ограниченное распространение Filebroser
Поиск в Интернете серверов с надписью «Login — filebroser» показал минимальные результаты, что свидетельствует об ограниченном распространении этого инструмента, возможно, адаптированного для конкретного оператора. Существует неопределенность в отношении того, функционирует ли Filebroser идентично исходной версии, однако его совместное использование с JSPSpy требует дальнейшего изучения.
Сложности обнаружения вредоносной инфраструктуры
Сервера JSPSpy имеют отличительный заголовок страницы входа в систему, что может быть полезным показателем для обнаружения, однако злоумышленники могут легко изменить такие заголовки для обхода мер безопасности. Более надежные методы обнаружения включают:
- Анализ заголовков HTTP;
- Изучение поведения HTTP-ответов сервера.
Это исследование подчеркивает сложность обнаружения вредоносных инфраструктур, акцентируя внимание на том, что эффективные стратегии обнаружения должны включать множество показателей. Точное отслеживание JSPSpy и аналогичных веб-инструментов требует интеграции различных сигналов, включая заголовки HTTP и контекстную информацию, что повышает осведомленность защитников о потенциальных угрозах.
Заключение
В совокупности JSPSpy и Filebroser служат напоминанием о том, что злоумышленники мастерски используют веб-оболочки для обеспечения устойчивого доступа, часто маскируя свою деятельность под законные условия. Это подчеркивает необходимость постоянного мониторинга и улучшения методов защиты в области кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
