Shanya: новият packer-as-a-service, който обезоръжава EDR системите

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Еволюцията на „EDR killer“ инструментите навлиза в нов етап със Shanya – услуга за киберпрестъпници, която елиминира защитите преди разгръщане на рансъмуер атаки.

На киберпрестъпния пазар се появи нов инструмент, който бързо се превръща в предпочитано средство за големите рансъмуер групи. Shanya, рекламиран като „VX Crypt“, представлява packer-as-a-service механизъм, който предоставя на атакуващите възможност да заобикалят, блокират или напълно унищожават EDR системите преди разгръщане на заряда.

Според анализ на Sophos, Shanya е пряк наследник на инструменти като HeartCrypt и поставя нов стандарт за прикриване, устойчивост и дефанзивно заобикаляне в рансъмуер екосистемата.

Какво представлява Shanya

Shanya е услуга, предлагана в рускоезични форуми от края на 2024 г., насочена към групи, които използват рансъмуер като Akira, Medusa и Qilin. Инструментът предоставя:

  • уникални „stub“ файлове за всеки клиент,

  • нестандартно зареждане на модули,

  • заобикаляне на AMSI (Antimalware Scan Interface),

  • устойчивост срещу sandbox анализ,

  • защита на .NET асемблиран код в движение,

  • възможност да работи под радара на защитните системи за продължителни периоди.

Тези възможности вече са доказани в реални инциденти, включително в множество атаки през 2025 г.

Механизъм на действие

1. DLL side-loading

Shanya използва класическа, но изключително ефикасна техника – странично зареждане на DLL файлове (DLL side-loading).

В анализираните атаки:

  • за легитимен процес се използва consent.exe – компонент на User Account Control в Windows,

  • в директорията му се поставя зловредна DLL с име като msimg32.dll,

  • Windows я зарежда, вярвайки че е легитимна библиотека.

2. Bring Your Own Vulnerable Driver (BYOVD)

След като се изпълни, Shanya:

  1. поставя легитимен, но уязвим драйвер (например ThrottleStop.sys),

  2. добавя зловреден kernel драйвер,

  3. използва уязвимия драйвер, за да получи kernel-level write access,

  4. систематично прекратява процесите на антивируси и EDR решения.

Това включва продукти на всички големи вендори – дефанзивният слой на жертвата буквално се изключва.

3. Обфускация и скриване на конфигурацията

Зареждащият компонент е силно обфускиран:

  • използва junk code и API hashing,

  • крие конфигурацията си в PEB паметта,

  • модифицира системни DLL файлове в паметта,

  • зарежда втори екземпляр на shell32.dll, за да изпълни полезния товар незабелязано.

Техники като тези затрудняват както ръчния анализ, така и автоматичните защитни механизми.

Глобално разпространение

Sophos отчита наличие на Shanya образци по целия свят, като през 2025 г. инструментът е засечен:

  • и в четирите географски полукълба,

  • с концентрации в ОАЕ и части от Азия,

  • в множество инциденти, предшестващи рансъмуер атаки.

Първата му документирана употреба е в атака на Medusa през април 2025 г., а по-късно става стандарт за групата Akira.

Реални атаки и последици

1. Рансъмуер вериги на атака

Shanya се използва основно като подготвителен етап преди масово криптиране. След елиминиране на защитата, рансъмуерът се изпълнява свободно и без риск да бъде спрян.

2. Кампанията „ClickFix“

През септември 2025 г. инструментът е свързан с кампания срещу хотелиерската индустрия:

  • атакуващите изпращат фалшиви Booking.com страници,

  • жертвата сваля компонента Shanya,

  • впоследствие се внедрява бекдорът CastleRAT.

3. Разширяване на пазара за evasion инструменти

Shanya е част от по-широка тенденция – професионализиране на evasion услугите в криминалния пазар.

Това означава, че рансъмуер групите все по-рядко разработват собствени инструменти и по-често купуват готови платформи, които са устойчиви, анонимизирани и поддържани от специализирани „доставчици“.

Откриване и защита

След анализите на Sophos и други вендори са създадени сигнатури за откриване, включително:

  • ATK/Shanya-B,

  • ATK/Shanya-C,

  • ATK/Shanya-D.

Защитни препоръки за организации:

  • активно блокиране на BYOVD атаки чрез модерни EDR решения,

  • мониторинг за неправомерно зареждане на системни DLL файлове,

  • забрана за изпълнение на неочаквани драйвери (driver load control),

  • пълно логиране на User Account Control събития,

  • анализ на shell32.dll аномалии в паметта,

  • засилен мониторинг при необяснимо спиране на EDR/AV процеси.

#BYOVD, # EDR evasion, # packer-as-a-service, # Shanya, # рансъмуер
e-security.bg

Подобни

MoonPeak RAT използва LNK файлове за атаки срещу криптоинвеститори
25.01.2026
moon-2762111_640
AiTM фишинг кампания компрометира енергийни организации чрез SharePoint
25.01.2026
power-station-374097_640
Okta предупреждава за нови vishing кампании към SSO акаунти
24.01.2026
okta
Нов Android троян използва машинно обучение
23.01.2026
malware_android
Evelyn Stealer - нов зловреден софтуер атакува разработчици
23.01.2026
stealer
Фишинг атаки през LinkedIn
22.01.2026
linkedin2

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
ClickFix кампания атакува хотели и туристически компании в България и ЕС
6.01.2026
Blue_screen_of_death-Maurice_Savage-Alamy

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.