خانه » Shanya EXE Packer: ابزار جدید مهاجمان برای مخفی‌سازی EDR Killer ها در حملات باج‌افزاری!
اخبار باج افزار

Shanya EXE Packer: ابزار جدید مهاجمان برای مخفی‌سازی EDR Killer ها در حملات باج‌افزاری!

توسط Vulnerbyte_News
نوشته شده توسط Vulnerbyte_News 212 بازدید
Ransomware gangs turn to Shanya EXE packer to hide EDR killers گروه والنربایت vulnerbyte

گروه‌های باج‌افزاری با استفاده از Shanya EXE Packer، ابزارهای خاموش‌کردن EDR را پنهان می‌کنند

گزارش‌های جدید نشان می‌دهد چندین گروه باج‌افزاری از یک Packer-as-a-Service به نام Shanya برای مخفی‌سازی و اجرای EDR Killerها روی سیستم قربانیان استفاده می‌کنند.
Packerها به مهاجمان این امکان را می‌دهند که با فشرده‌سازی و رمزگذاری، بدافزارهای خود را از دید آنتی‌ویروس‌ها و راهکارهای امنیتی پنهان کنند.

پلتفرم Shanya از اواخر ۲۰۲۴ ظهور کرد و به سرعت محبوب شد. داده‌های تله‌متری Sophos نشان می‌دهد نمونه‌های آلوده به Shanya در تونس، امارات، کاستاریکا، نیجریه و پاکستان مشاهده شده‌اند.

گروه‌های باج‌افزاری Medusa، Qilin، Crytox و Akira از جمله استفاده‌کنندگان تأییدشده Shanya هستند؛ که Akira بیشترین استفاده را دارد.

Ransomware gangs turn to Shanya EXE packer to hide EDR killers گروه والنربایت vulnerbyte
استفاده از Shanya Packer در حملات باج‌افزاری

Shanya EXE Packer چگونه کار می‌کند؟

مهاجمان ابتدا Payload خود را برای Shanya ارسال می‌کنند. سرویس Shanya یک نسخه Packed از بدافزار را برمی‌گرداند که شامل:

  • Encryption اختصاصی برای هر مشتری

  • Wrapper سفارشی روی Loader سیستم

  • Uniquization در Stub
    است؛ بنابراین هر فایل خروجی نسبتاً یکتا است.

جاسازی در نسخه دستکاری‌شده shell32.dll

Payload نهایی داخل یک نسخه حافظه‌محور از فایل shell32.dll قرار می‌گیرد — فایلی با اندازه و ساختار ظاهراً طبیعی اما دارای Header و بخش .text کاملاً بازنویسی‌شده.

نکته مهم:
پردازش Payload کاملاً در حافظه انجام می‌شود و هیچ ردپایی روی دیسک باقی نمی‌گذارد.

برای جلوگیری از تحلیل، Shanya با فراخوانی تابع
RtlDeleteFunctionTable
در کانتکست نامعتبر، باعث Crash یا Exception در دیباگرهای User-Mode می‌شود.

Ransomware gangs turn to Shanya EXE packer to hide EDR killers گروه والنربایت vulnerbyte
کد junk در لودر

چطور EDRها غیرفعال می‌شوند؟

هدف مهاجمان قبل از رمزگذاری و سرقت داده این است که EDRها را از کار بیندازند.

روش رایج اجرای Payload

استفاده از DLL Side-Loading با فایل‌های قانونی ویندوز مانند:

  • consent.exe
    در کنار DLLهای آلوده مانند:

  • msimg32.dll

  • version.dll

  • rtworkq.dll

  • wmsgapi.dll

درايورهای مخرب

طبق تحلیل Sophos، ابزار EDR Killer دو درایور زیر را بارگذاری می‌کند:

  1. ThrottleStop.sys (rwdrv.sys) — امضاشده و معتبر

    • شامل آسیب‌پذیری برای نوشتن دلخواه در حافظه کرنل (Privilege Escalation)

  2. hlpdrv.sys — امضانشده

    • دریافت فرمان از User Mode برای غیرفعال‌سازی محصولات امنیتی

کامپوننت User-Mode پردازش‌ها و سرویس‌های سیستم را بررسی می‌کند و موارد مطابق لیست سخت‌کدشده را برای حذف به درایور ارسال می‌کند.

Ransomware gangs turn to Shanya EXE packer to hide EDR killers گروه والنربایت vulnerbyte
فهرست جزئی از خدمات هدف گرفته شده

کاربردهای دیگر Shanya

Sophos مشاهده کرده که در برخی کمپین‌های ClickFix از Shanya برای پک بدافزار CastleRAT نیز استفاده شده است.

گزارش نهایی شامل:

  • تحلیل فنی دقیق Loader

  • بررسی Stubهای رمزگذاری

  • لیست IoCهای مرتبط با کمپین‌های Shanya

https://www.bleepingcomputer.com/news/security/ransomware-gangs-turn-to-shanya-exe-packer-to-hide-edr-killers/

همچنین ممکن است دوست داشته باشید

AI tools becoming hot commodities on ransomware marketplaces

افشای اطلاعات گروه باج‌افزاری The Gentlemen؛ عملیات RaaS...

باج‌افزار VECT 2.0؛ وقتی پرداخت باج هم داده‌ها...

تکامل باج‌افزار چندگانه: تحلیل فنی تهدیدات پیشرفته باج‌افزاری

باج‌افزار Reynolds و جاسازی درایور آسیب‌پذیر با تکنیک...

دو افزونه کروم با هدف سرقت اطلاعات کاربران...

باج‌افزار VolkLocker به دلیل کلید اصلی هاردکد شده،...

اکوسیستم بازار باج‌افزار در آستانه انفجار: ۸۵ گروه...

حملهٔ هیبریدی گروه باج‌افزاری Qilin: ترکیب باج‌افزار لینوکسی...

مایکروسافت هشدار داد! حفره خطرناک در GoAnywhere هدف...

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.