信息來源：比特網(wǎng)

2016年11月，我們注意到一個(gè)與2012年Shamoon攻擊相關(guān)的破壞性攻擊再次出現(xiàn)，稍后我們?cè)凇禨hamoon 2：Return of the Disttrack Wiper》博文中對(duì)此次攻擊進(jìn)行了詳細(xì)介紹。該攻擊以某個(gè)沙特阿拉伯組織為目標(biāo)，并計(jì)劃于2016年11月17日清空該系統(tǒng)。該博文發(fā)表后，我們發(fā)現(xiàn)了另一個(gè)類似但不同的有效載荷，用于攻擊沙特的另一組織，并設(shè)置于2016年11月29日清空系統(tǒng)。這一最新攻擊有可能嚴(yán)重影響其中一個(gè)主要針對(duì)擦除器(wiper)攻擊的對(duì)策：虛擬桌面界面快照(Virtual Desktop Interface snapshots)。

這次攻擊中使用的有效載荷與2016年11月17日的有效載荷非常相似，但在行為方面也稍稍表現(xiàn)出某些不同，而且包含了針對(duì)該新目標(biāo)組織的特定硬編碼帳戶憑證。 這些硬編碼帳戶憑證能達(dá)到Windows對(duì)密碼的復(fù)雜性要求，這表明攻擊者已經(jīng)通過此前的獨(dú)立攻擊獲得了憑證，就如2016年11月17日的攻擊那樣。

這個(gè)案例最值得注意的是，它包含了華為官方文件中有關(guān)其虛擬桌面基礎(chǔ)架構(gòu)(Virtual Desktop Infrastructure, VDI)解決方案如FusionCloud的多個(gè)用戶名及密碼。

VDI解決方案可對(duì)已擦除系統(tǒng)加載快照功能，可保護(hù)系統(tǒng)免受Disttrack之類惡意軟件的破壞。 現(xiàn)在Shamoon攻擊者擁有這些用戶名和密碼，表明他們可能有計(jì)劃侵入目標(biāo)組織獲得這些技術(shù)，以增強(qiáng)其破壞性攻擊的影響力。 若此推斷屬實(shí)，這對(duì)攻擊者而言是一個(gè)重要的進(jìn)展，企業(yè)組織應(yīng)考慮增添額外防御措施，以保護(hù)與其VDI部署相關(guān)的憑證。

目前，我們尚未弄清之前Shamoon攻擊是如何獲得憑證的， 我們也沒有掌握這次攻擊中所使用的相似但不同于Disttrack的新的有效載荷的傳輸細(xì)節(jié)。