Phân tích JSPSpy: Mối đe dọa và Chiến lược phòng ngừa

14/03/2025
2 mins read

Bài viết từ GBHackers.com thảo luận về việc tin tặc khai thác JSPSpy, một webshell dựa trên Java, để quản lý các mạng webshell độc hại. Dưới đây là những điểm chính từ bài viết:

  1. Cách sử dụng JSPSpy:
    JSPSpy đã được xác định là một công cụ được tin tặc sử dụng để quản lý webshell, cung cấp khả năng truy cập từ xa và quản lý tệp. Nó đã được quan sát thấy từ năm 2013 và đã liên quan đến các tác nhân đe dọa tinh vi, bao gồm Nhóm Lazarus.
  2. Triển khai và cơ sở hạ tầng:
    Cơ sở hạ tầng độc hại sử dụng JSPSpy trải dài trên nhiều nhà cung cấp dịch vụ lưu trữ tại Trung Quốc và Hoa Kỳ, sử dụng hỗn hợp dịch vụ đám mây và ISP truyền thống để thiết lập các máy chủ chỉ huy và kiểm soát. Hầu hết các trường hợp hoạt động trên cổng HTTP chuẩn 80 để hòa lẫn với lưu lượng web hợp pháp và tránh bị phát hiện.
  3. Các công cụ tái thương hiệu:
    Hai trong bốn máy chủ được xác định đang lưu trữ JSPSpy cùng với một công cụ tái thương hiệu có nhãn “filebroser”, là phiên bản đổi tên nhẹ của dự án File Browser mã nguồn mở. Việc tái thương hiệu này đặt ra câu hỏi liệu các kẻ tấn công có ý định tránh phát hiện hay đã tùy chỉnh công cụ cho mục đích của riêng họ.
  4. Chiến lược phát hiện:
    Các nhóm bảo mật có thể xác định các triển khai JSPSpy tiềm năng thông qua một số chỉ số đáng tin cậy, bao gồm tiêu đề trang đăng nhập “JspSpy Codz By-Ninety” và các tiêu đề phản hồi HTTP cụ thể như “Server: JSP3/2.0.14” và một trường “Ohc-Cache-Hit” chứa một chuỗi ngẫu nhiên năm ký tự chữ cái. Các người bảo vệ có thể tận dụng các mẫu regex để phát hiện hoạt động này trên quy mô lớn.
  5. Các khả năng hoạt động:
    Sự hiện diện của cả JSPSpy và các công cụ tái thương hiệu trên cùng một cơ sở hạ tầng chứng tỏ cách mà các tác nhân đe dọa tiếp tục khai thác webshell như những phương pháp có dấu chân thấp để duy trì quyền truy cập liên tục. Sự kết hợp giữa các công cụ đã được thiết lập và các tiện ích tái thương hiệu mở rộng khả năng hoạt động của họ trong khi cố gắng né tránh các biện pháp an ninh.

Thông tin này làm nổi bật mối đe dọa liên tục mà JSPSpy gây ra và các chiến thuật đang phát triển mà tin tặc sử dụng để quản lý và duy trì các mạng webshell độc hại.