概要
サイバー犯罪のアンダーグラウンドで「Shanya」と呼ばれる洗練された新しい「packer-as-a-service」ツールが登場し、EDR(Endpoint Detection and Response)などのエンドポイント防御を無力化する目的で、主要なランサムウェアグループに急速に普及しています。Sophosの新たな調査によると、ShanyaはHeartCryptのような以前のツールに続く「EDRキラー」市場の進化形であり、セキュリティモニターを盲目化し、保護プロセスを終了させることで、Akira、Medusa、Qilinなどのランサムウェアペイロードが被害者のネットワークを妨害なく暗号化するための道を開いています。
「Shanya」とは?
研究者は2024年後半にロシア語のアンダーグラウンドフォーラムでこのツールを初めて特定しました。「Shanya」というハンドルネームを使用するエンティティによって「VX Crypt」として販売され、非標準モジュールローディング、顧客ごとのユニークなスタブ生成、AMSI(Antimalware Scan Interface)バイパス、サンドボックス耐性などの高度な回避機能が約束されていました。マルウェアの作成者は、.NETアセンブリの実行時保護と、長期間にわたって検出されずに実行できる能力を誇っており、この主張は最近の事件で残念ながら裏付けられています。
その仕組み
Shanyaは主にDLLサイドローディングを通じて動作します。これは、悪意のあるコードが正当なシステムライブラリを模倣し、信頼されたアプリケーションに誤って実行させる手法です。分析された攻撃では、マルウェアはしばしば正当なWindowsユーザーアカウント制御コンポーネントであるconsent.exeを悪用して、悪意のあるDLL(多くの場合msimg32.dllと命名)をロードします。
Shanyaが活動を開始すると、「bring your own vulnerable driver」(BYOVD)攻撃を展開します。これは、正当だが脆弱なドライバー(例:ThrottleStop.sys)を悪意のあるカーネルドライバーとともにドロップするものです。脆弱なドライバーを悪用することで、Shanyaはカーネルレベルの書き込みアクセス権を獲得し、アンチウイルスやEDR製品に関連する膨大な数のプロセスやサービスを強制的に終了させることができます。
ローダー自体は高度に難読化されており、分析を困難にするために「ジャンクコード」とAPIハッシュを使用しています。設定はプロセス環境ブロック(PEB)に隠され、システムDLLがメモリ内で変更されることで、ペイロードが隠密に実行されます。
現実世界での影響と検出
2025年を通じて、Shanyaは世界中で展開されており、UAEとアジアの一部で特に集中が見られました。最も破壊的な用途は、ランサムウェアの前駆体としてです。2025年4月のMedusa攻撃でのデビュー以来、Akiraランサムウェアグループの定番ツールとなっています。また、2025年9月には、ホテル業界を標的とした「ClickFix」キャンペーンにも関連付けられています。攻撃者は偽のBooking.com検証ページを使用してホテルスタッフを騙し、マルウェアをダウンロードさせ、その結果CastleRATバックドアが展開されました。
セキュリティベンダーは、この脅威を検出するためにシグネチャを更新しています。Sophosは、このパッカーとそのコンポーネントをATK/Shanya-B、ATK/Shanya-C、およびATK/Shanya-Dというファミリー名で識別しています。
対策と展望
回避ツールの市場が成熟するにつれて、研究者たちは「packer-as-a-service」の提供がランサムウェアサプライチェーンの重要なコンポーネントであり続けると警告しており、防御側には絶え間ない警戒が必要です。