СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
07.12.2025
#ИБ

Shanya: пакер как услуга и уничтожитель EDR в атаках CastleRAT

Появление шифровальщика Shanya обозначило заметный этап в развитии предложений packer-as-a-service, которые всё активнее используют группы вымогателей. Первые упоминания о проекте появились на подпольных форумах ближе к концу 2024 года, а к концу 2025-го инфекции, связанные с Shanya, регистрировались уже во всех четырех полушариях.

Краткая предыстория и распространение

Shanya быстро получила признание за способность маскировать вредоносные загрузки, фактически сменив ранее популярный сервис HeartCrypt. Ранние образцы содержали легко идентифицируемые артефакты — например, исполняемый файл shanya_crypter.exe, что указывало на его роль в цепочке поставки вредоносного ПО.

География распространения показала, что хотя случаи заражения встречаются повсеместно, в ряде стран наблюдались более высокие показатели заболеваемости на душу населения.

Техническая архитекура и методы обхода

Технически Shanya демонстрирует высокий уровень проработки. Среди ключевых моментов:

  • Использование блока среды процесса (PEB) для _безопасного хранения_ критичных данных (в частности, адресов API), что облегчает выполнение полезной нагрузки без привлечения внимания.
  • Динамическое разрешение функций Windows API путём анализа структуры PEB_LDR_DATA. Для идентификации нужных функций применяется пользовательский алгоритм хэширования, который меняется в зависимости от конкретного образца — это усложняет статический анализ и создание универсальных сигнатур.
  • Набор анти-анализ мер, среди которых — вызов RtlDeleteFunctionTable с некорректными аргументами, намеренно вызывающий необработанные исключения при запуске в отладчике. Такая тактика направлена на помеху как автоматическому, так и ручному анализу.

В совокупности эти приёмы позволяют Shanya сохранять функциональность и доставлять полезную нагрузку в целевой среде до момента выполнения шифрования или других вредоносных действий.

Связь с кампаниями и последствия

Shanya тесно связана с кампанией распространения, известной как CastleRAT, которая, согласно отчётам, нацелена на гостиничный сектор. В таких атаках Shanya функционирует как защитный уровень для вредоносного ПО, часто классифицируемого как средство уничтожения EDR (Endpoint Detection and Response). Это делает итоговое вредоносное ПО особенно опасным: оно нацелено на подрыв инструментов безопасности, уменьшая шансы на успешное обнаружение и реагирование.

Обнаружение и реакции поставщиков безопасности

Для борьбы с Shanya поставщики безопасности разработали сигнатуры обнаружения. В частности, Sophos выделила несколько вариантов, помеченных как ATK/Shanya-B, ATK/Shanya-C и ATK/Shanya-D.

«Sophos определила несколько сигнатур обнаружения для Shanya, включая варианты с маркировкой ATK/Shanya-B, ATK/Shanya-C и ATK/Shanya-D», — свидетельствуют специалисты.

Что значит для безопасности и как реагировать

Эволюция предложений packer-as-a-service в сочетании с инструментами-убийцами EDR указывает на устойчивую угрозу, подпитываемую финансовой мотивацией преступников. Среди рекомендуемых мер для снижения риска:

  • Поддерживать актуальность антивирусных баз и сигнатур; интегрировать обнаружение на основе поведения помимо сигнатурного детектирования.
  • Усилить мониторинг целевых отраслей (например, гостиничного сектора) и проводить проактивный threat hunting, ориентированный на индикаторы, связанные с Shanya и CastleRAT.
  • Ограничивать полномочия процессов и применять принцип наименьших привилегий, чтобы снизить потенциал успешного выполнения вредоносной полезной нагрузки.
  • Сегментировать сеть и внедрять многоуровневые средства обнаружения, чтобы минимизировать распространение внутри инфраструктуры.

Вывод

Shanya демонстрирует, что коммерциализация упаковщиков вредоносного ПО — packer-as-a-service — и развитие методов обхода EDR продолжают усиливать угрозу для организаций по всему миру. Приобретение и интеграция таких инструментов преступниками означают, что сложные виды вредоносного ПО будут и дальше эволюционировать, создавая новые вызовы для индустрии кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: