Исследователи кибербезопасности из SophosLabs обнаружили и проанализировали новую услугу на теневом рынке - упаковщик-как-услугу (Packer-as-a-Service, PааS) под названием Shanya. Этот криптер уже активно используется группами, распространяющими программы-вымогатели (ransomware), для сокрытия вредоносного кода от систем защиты. Более того, он применяется для доставки специализированного вредоносного ПО, предназначенного для отключения решений класса EDR (Endpoint Detection and Response, обнаружение и реагирование на конечных точках).
Описание
Появление на теневых форумах
Первые упоминания Shanya под названием VX Crypt появились на русскоязычных подпольных форумах в конце 2024 года. Рекламное объявление обещает покупателям уникальный для каждого заказчика исполняемый файл-загрузчик с индивидуальным алгоритмом шифрования. Среди заявленных возможностей - обход AMSI (Antimalware Scan Interface) для сборок .NET, противодействие анализу в виртуальных машинах и песочницах, а также функции для повышения привилегий и обеспечения постоянного присутствия (persistence) в системе.
Технический анализ и методы обхода защиты
Анализ образцов показал, что код загрузчика Shanya сильно обфусцирован большим объемом бесполезного кода, что затрудняет статический анализ. Упаковщик использует сложные техники для скрытия своей деятельности. В частности, он хранит критически важные данные, такие как адреса API, в поле "GdiHandleBuffer" структуры PEB (Process Environment Block, блок среды процесса). Это позволяет последующим этапам вредоносной программы легко получать доступ к конфигурации, минуя традиционные методы отслеживания.
Для динамического разрешения необходимых функций Windows Shanya применяет технику хеширования API. Кроме того, он содержит проверки на наличие анализа. Например, вызов функции "RtlDeleteFunctionTable" с неверными параметрами предназначен для вызова сбоя при работе под отладчиком. Упаковщик также проверяет, не перехвачен ли этот API системами EDR, и в случае обнаружения хука пытается выполнить оригинальный, незацепленный код.
Основная нагрузка (payload) шифруется и сжимается. Для ее выполнения Shanya прибегает к хитрому методу: он загружает вторую копию легитимной системной библиотеки (чаще всего "shell32.dll") в пространство памяти пользовательского кода. Заголовок и секция ".text" этой копии перезаписываются расшифрованным вредоносным кодом, после чего она загружается с помощью недокументированной функции "LdrLoadDll". Для дальнейшей маскировки Shanya модифицирует записи в списке загруженных модулей системы, подменяя имена файлов.
Ключевые случаи использования: «Убийца EDR» и CastleRAT
Одним из наиболее опасных применений Shanya стала доставка так называемого «убийцы EDR». Этот модуль часто распространяется через DLL side-loading, используя чистую программу "consent.exe" (компонент Microsoft) для загрузки вредоносной DLL. Его задача - деактивировать защитные решения на компьютере-жертве.
«Убийца EDR» действует в два этапа. Сначала он загружает уязвимый, но подписанный легитимный драйвер (например, "ThrottleStop.sys"). Затем с его помощью загружается вредоносный неподписанный драйвер ядра. Получив доступ на уровне ядра, вредоносное ПО получает возможность останавливать процессы и службы, принадлежащие многочисленным перечисленным в его коде продуктам безопасности, что расчищает путь для финальной атаки. По данным исследователей, этот инструмент уже использовался в атаках групп вымогателей Akira, Medusa, Qilin и Crytox.
Другим примером является кампания сентября 2025 года, нацеленная на гостиничный бизнес. Злоумышленники рассылали фишинговые сообщения, стилизованные под Booking.com, которые в конечном итоге загружали вредоносное ПО, упакованное Shanya. Финальной нагрузкой в этой кампании был бэкдор CastleRAT.
География
Детекты файлов, упакованных Shanya, были зафиксированы по всему миру. Однако в конце 2025 года относительно более высокая активность наблюдалась в Тунисе, ОАЭ, Коста-Рике, Нигерии и Пакистане.
Эксперты отмечают, что услуги по упаковке вредоносного кода и инструменты для борьбы с EDR останутся популярными в арсенале киберпреступников в обозримом будущем. Их комбинация представляет значительную угрозу, особенно для организаций, поскольку напрямую нацелена на механизмы безопасности, призванные предотвращать такие атаки. Финансовая мотивация групп вымогателей гарантирует, что подобные инструменты будут и дальше развиваться и совершенствоваться.
Индикаторы компрометации
URLs
- biklkfd.com/upd
- biokdsl.com/upd
SHA1
- 58995a6c6042ed15f765a11160690c45f76f8271
- 83317a42290ef8577e1980dc6085ab789dcc0c8f
SHA256
- 087216ee05746cc264752b0623dc6a1e32cddc0ca088832672e6dd356d394393
- 2647c28b0967b7923d7c857fa1bdc7687d8f816f9dc4906c6a6f66f687a6419a
- 2bfb560c7b34a2b4c30db711900d6e56d86f754f4fbeebe551b8c67bc30a2b36
- 59906b022adfc6f63903adbdbb64c82881e0b1664d6b7f7ee42319019fcb3d7e
- 5b7b280b53ff3cf95ead4fd4a435cd28294c5fce6a924ec52e500a109deb868b
- 605f9e0e1cd48d21280bfaa8101a621bdf27a87286370b8d2b34e9c0b974fbde
- 65de909d70e361d611d00a944ea094c385467777ffc053c96aafa04c795fdc90
- 6645297a0a423564f99b9f474b0df234d6613d04df48a94cb67f541b8eb829d1
- 95a6f6e79c1842cea3603df3209fddc12aeb4fc77d1c58a852f877b1eaa9c4c9
- 9b4c960df76257b56a2f52cd2c938b76ec64f46cc86f6112db349f9aa02bb323
- 9fc1fd3d5e303cd20f75d2df4500c22627ad7125cca5ea5e9f7d76362d155823
- aad15de62b4196390c062e831d69365e44af23ca56d4778bd5bc086720fc2912
- b33570f16763f9b5d0f265baf0b565238d7b8f522d37340c890d059d9f9ff4dd
- f548fb03a3834db7db437db837e0d23785e16a875199a1d7250a3c91390d934c
