قراصنة يستغلون ثغرة “شانيا” لتنفيذ هجمات برامج الفدية

شهدت الساحة السيبرانية مؤخراً تصاعداً في استخدام “شانيا” (Shanya)، أداة متطورة لخدمات التغليف (packer-as-a-service) وقاتل أنظمة الكشف والاستجابة (EDR)، لتسهيل عمليات برامج الفدية الخبيثة.

ظهرت هذه الأداة في منتديات تحت الأرض أواخر العام الماضي تحت اسم مستعار “VX Crypt”، وتم تصميمها لتتفوق على الأدوات الرائدة سابقاً مثل HeartCrypt. يوفر “شانيا” حلاً فعالاً لسد الفجوة بين الوصول الأولي ونشر الحمولة النهائية، مما يمنح المهاجمين مجموعة أدوات متخصصة لتعطيل أنظمة المراقبة الأمنية وضمان نجاح عمليات التشفير.

شانيا: سلاح هجومي جديد لبرامج الفدية

يعمل “شانيا” عبر تقنيات تحميل جانبية متطورة لملفات DLL، وغالباً ما يستغل ملفات النظام الشرعية مثل consent.exe لإخفاء نشاطه. يتمحور جوهر تكتيكاته الهجومية حول أسلوب “إحضار برنامج التشغيل القابل للاختراق الخاص بك” (BYOVD).

من خلال إسقاط واستغلال برامج تشغيل شرعية ولكنها ذات ثغرات، وعلى رأسها ThrottleStop.sys، يكتسب البرمجية الخبيثة امتيازات على مستوى النواة. هذا التصعيد ضروري، حيث يسمح لها بتجاوز قيود وضع المستخدم القياسي ومهاجمة استدعاءات النواة (kernel callbacks) التي تستخدمها منصات الحماية الطرفية مباشرة.

لاحظ محللو الأمن في “Sophos” الاستخدام المتزايد لهذه الأداة في حملات عالمية، وربطوها بسلالات برامج فدية بارزة مثل Akira و Medusa و Qilin. وأشار الباحثون إلى أن “شانيا” ليس مجرد أداة تغليف واقية، بل هو سلاح هجومي استباقي.

تعمل الأداة على تفكيك الدفاعات بشكل منهجي قبل حتى فك تشفير حمولة برنامج الفدية، مما يخلق بيئة خالية من الدفاعات يمكن فيها لعمليات التشفير أن تعمل دون انقطاع. هذه الوظيفة المزدوجة جعلت منها أداة سائدة بشكل خاص في الهجمات المستهدفة عبر مناطق مختلفة مثل الإمارات العربية المتحدة وتونس.

ديناميكيات العدوى والتهرب على مستوى النواة

يكشف الهيكل التقني لـ “شانيا” عن اعتماده الكبير على آليات إخفاء وتعطيل التحليل المتقدمة لتجنب التدقيق. يتم تشبع المحمل الأولي بـ “كود زائف” (junk code) لتعطيل جهود الهندسة العكسية. ولمزيد من التهرب من الكشف، يقوم البرنامج الخبيث باستدعاء RtlDeleteFunctionTable بشكل استباقي بسياقات غير صالحة، محاولاً تعطيل أدوات التصحيح.

كما يقوم بإخفاء بيانات تكوينه داخل كتلة بيئة العملية (PEB)، مستخدماً GdiHandleBuffer كمستودع سري لمؤشرات واجهة برمجة التطبيقات (API)، مما يضمن بقاء معايير التنفيذ الحرجة مخفية عن ماسحات الذاكرة. وتتمثل إحدى السمات المميزة لـ “شانيا” في قدرته الوحشية على إنهاء العمليات.

بمجرد تفعيل برنامج تشغيل النواة، يبدأ مكون وضع المستخدم في مسح الخدمات النشطة مقابل قائمة مستهدفة. تقوم البرمجية الخبيثة بالمرور على هذه الخدمات، وإرسال تعليمات إلى برنامج تشغيل النواة (hlpdrv.sys) لإنهاء العمليات بالقوة.

// Logic for iterating and terminating security services
while (!StrStrIA (v5, v6)) 
{
    v6 = (&driver_list) [++v7]; // Iterate through target list
    if (!v6) goto LABEL_14;
}
// DeviceIoControl sends kill command to malicious driver
if (!DeviceIoControl (hDevice, 0x222008u, &InBuffer, 8u, ...)) 
{
    // Trigger termination routine
}

يستخدم البرنامج الخبيث أيضاً تقنية فريدة “للتحميل المزدوج”، حيث يقوم بتحميل نسخة ثانية من ملف DLL لنظام التشغيل مثل shell32.dll وإلحاق ترويسة الحمولة المفككة فوقها. هذا التكامل السلس داخل مساحات الذاكرة الشرعية، غالباً باستخدام أسماء مثل mustard64.dll، يجسد تكتيكات التهرب المتقدمة التي تجعل من “شانيا” تهديداً حرجاً.