信息來源：比特網(wǎng)

2016年11月，我們注意到一個與2012年Shamoon攻擊相關(guān)的破壞性攻擊再次出現(xiàn)，稍后我們在《Shamoon 2：Return of the Disttrack Wiper》博文中對此次攻擊進行了詳細介紹。該攻擊以某個沙特阿拉伯組織為目標，并計劃于2016年11月17日清空該系統(tǒng)。該博文發(fā)表后，我們發(fā)現(xiàn)了另一個類似但不同的有效載荷，用于攻擊沙特的另一組織，并設(shè)置于2016年11月29日清空系統(tǒng)。這一最新攻擊有可能嚴重影響其中一個主要針對擦除器(wiper)攻擊的對策：虛擬桌面界面快照(Virtual Desktop Interface snapshots)。

這次攻擊中使用的有效載荷與2016年11月17日的有效載荷非常相似，但在行為方面也稍稍表現(xiàn)出某些不同，而且包含了針對該新目標組織的特定硬編碼帳戶憑證。 這些硬編碼帳戶憑證能達到Windows對密碼的復(fù)雜性要求，這表明攻擊者已經(jīng)通過此前的獨立攻擊獲得了憑證，就如2016年11月17日的攻擊那樣。

這個案例最值得注意的是，它包含了華為官方文件中有關(guān)其虛擬桌面基礎(chǔ)架構(gòu)(Virtual Desktop Infrastructure, VDI)解決方案如FusionCloud的多個用戶名及密碼。

VDI解決方案可對已擦除系統(tǒng)加載快照功能，可保護系統(tǒng)免受Disttrack之類惡意軟件的破壞。 現(xiàn)在Shamoon攻擊者擁有這些用戶名和密碼，表明他們可能有計劃侵入目標組織獲得這些技術(shù)，以增強其破壞性攻擊的影響力。 若此推斷屬實，這對攻擊者而言是一個重要的進展，企業(yè)組織應(yīng)考慮增添額外防御措施，以保護與其VDI部署相關(guān)的憑證。

目前，我們尚未弄清之前Shamoon攻擊是如何獲得憑證的， 我們也沒有掌握這次攻擊中所使用的相似但不同于Disttrack的新的有效載荷的傳輸細節(jié)。