Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Các tin tặc sử dụng Shanya EXE packer nhằm vô hiệu hóa các giải pháp EDR

14:04 | 10/12/2025
Hồng Đạt

Nhiều nhóm tin tặc mã độc tống tiền đang sử dụng nền tảng packer-as-a-service có tên Shanya, để giúp chúng triển khai các phần mềm nhằm ngăn chặn, vô hiệu hóa các giải pháp phát hiện và phản hồi điểm cuối (EDR) trên hệ thống của nạn nhân.

Dịch vụ này cung cấp cho tội phạm mạng các công cụ chuyên dụng để đóng gói phần mềm độc hại theo cách làm rối nghĩa mã độc (obfuscation) để tránh bị phát hiện bởi hầu hết các công cụ bảo mật và công cụ diệt vi-rút đã biết.

Shanya packer xuất hiện vào cuối năm 2024 và ngày càng trở nên phổ biến hơn, với các mẫu phần mềm độc hại sử dụng hoạt động này được phát hiện ở Tunisia, UAE, Costa Rica, Nigeria và Pakistan, theo dữ liệu đo từ xa của Công ty an ninh mạng Sophos Security. Trong số các nhóm mã độc tống tiền được phát hiện sử dụng dịch vụ này có Medusa, Qilin, Crytox và Akira, trong đó các tin tặc Akira là nhóm sử dụng Shanya packer thường xuyên nhất.

Shanya packer được sử dụng trong các cuộc tấn công mã độc tống tiền

Cách thức hoạt động của Shanya

Các tác nhân đe dọa gửi các phần mềm độc hại của chúng tới Shanya và dịch vụ này sẽ trả về phiên bản “packed” (đóng gói) với trình bao bọc tùy chỉnh, sử dụng mã hóa và nén.

Đáng chú ý, Payload được chèn vào bản sao được ánh xạ bộ nhớ của tệp DLL Windows shell32[.]dll. Tệp DLL này có các phần thực thi và kích thước trông hợp lệ, đường dẫn của nó thoạt nhìn có vẻ bình thường, nhưng phần tiêu đề và phần text bị ghi đè bằng payload đã giải mã.

Trong khi dữ liệu mã hóa bên trong tệp đã đóng gói, dữ liệu đó sẽ giải mã và giải nén khi vẫn còn hoàn toàn trong bộ nhớ, sau đó chèn vào tệp sao chép shell32[.]dll mà không ghi vào đĩa.

Vô hiệu hóa EDR

Các nhóm tin tặc mã độc tống tiền thường tìm cách vô hiệu hóa các công cụ EDR đang chạy trên hệ thống mục tiêu trước giai đoạn đánh cắp dữ liệu và mã hóa của cuộc tấn công. Quá trình thực thi thường diễn ra thông qua DLL sideloading, kết hợp một tệp thực thi Windows hợp pháp như consent[.]exe với một DLL độc hại được đóng gói bởi Shanya như msimg32[.]dll, version[.]dll, rtworkq[.]dll hoặc wmsgapi[.]dll.

Theo phân tích từ Sophos, EDR killer nhúng hai driver bao gồm: ThrottleStop[.]sys ký số hợp pháp (rwdrv[.]sys) từ TechPowerUp, chứa lỗ hổng cho phép ghi bộ nhớ kernel tùy ý và hlpdrv[.]sys chưa được ký.

Driver ThrottleStop[.]sys được sử dụng để tăng quyền, trong khi hlpdrv[.]sys vô hiệu hóa các sản phẩm bảo mật dựa trên các lệnh nhận được từ user mode, chế độ này chịu trách nhiệm liệt kê các tiến trình đang chạy và các dịch vụ đã cài đặt, sau đó so sánh kết quả với các mục trong danh sách được mã hóa cứng mở rộng, gửi lệnh “kill” đến kernel driver độc hại cho mỗi mục trùng khớp.

Danh sách các dịch vụ bị nhắm mục tiêu

Ngoài việc phát hiện các băng nhóm mã độc tống tiền vào việc vô hiệu hóa EDR, Sophos cũng đã quan sát thấy các chiến dịch ClickFix gần đây sử dụng dịch vụ Shanya để đóng gói phần mềm độc hại CastleRAT.

Công ty bảo mật cung cấp các chỉ số xâm phạm (IoC) liên quan đến các chiến dịch do Shanya hỗ trợ, quý độc giả có thể theo dõi tại đây.

Twitter Zalo Facebook YouTube Copy Link QR Code
MÃ ĐỘC TỐNG TIỀN DỊCH VỤ SHANYA ĐÓNG GÓI PACKER-AS-A-SERVICE RỐI NGHĨA TIN TẶC MÃ HÓA DRIVER DLL ĐỘC HẠI CLICKFIX NÉN AKIRA OBFUSCATION VÔ HIỆU HÓA EDR PHẦN MỀM ĐỘC HẠI
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết