磁盘擦式恶意软件SMAMOON针对虚拟桌面基础架构

2012年沙特阿拉伯国家石油公司30,000台计算机中擦除了数据的节目标记计划已返回，并能够针对服务器托管的虚拟桌面。

恶意软件，称为SMAMOON或DISTTRACK，是被称为磁盘刮水器的破坏性程序系列的一部分。2014年使用类似的工具，针对美国的索尼图片娱乐，并于2013年对韩国的几家银行和广播组织。

在2012年的2012年Cyber​​attack上首次观察到沙特阿美公司的赛马。它通过使用被盗凭据在本地网络上传播到其他计算机，并在预注入日期激活其磁盘擦拭功能。

去年11月，来自赛门铁克的安全研究人员报告了寻找新版本的血小赛，这些赛赛赛鲑鱼于对沙特阿拉伯对抗目标的新鲜袭击中使用。该版本是CONPD在11月17日开始在11月17日开始覆盖硬盘驱动器数据。当地时间在沙特阿拉伯，在该国大多数工人开始周末后不久就很快就开始了。

Palo Alto Networks的研究人员发现了另一个赛赛艇变体，与Symantec的赛事不同，并且可能用于沙特阿拉伯的不同目标。这个第三版本有一个杀戮日期 - 康颇的日期开始擦拭数据 - 11月29日，并包含了针对目标组织的硬编码账户凭据，Palo Alto研究人员周一在一个博客文章中说。

其中一些凭据是用于Windows域帐户的凭据，但是一些是Huawei FusionCloud的默认用户名和密码，虚拟桌面基础架构（VDI）解决方案。

华为FusionCloud等VDI产品让公司在数据中心内运行多个虚拟化桌面安装。然后，用户从瘦客户端访问这些虚拟PC，在不同的分支机构和办公室跨越工作站管理很容易。

VDI解决方案的另一个好处是他们创建了这些虚拟化桌面的常规快照，允许管理员轻松地将它们恢复到已知的工作状态，以防出现问题。

显然，这个最新赛赛艇运动背后的攻击者意识到目标组织使用华为的VDI产品，并意识到它不会使用被盗的Windows域凭据擦除虚拟PC。

“赛船攻击者拥有这些用户名和密码的事实可能表明，他们打算在有针对性组织获得对这些技术的访问，以增加其破坏性攻击的影响，”Palo Alto Networks研究人员说。“如果是真，这是一个主要的开发，组织应考虑在保护与VDI部署相关的凭据中添加额外的保障措施。”

虽然到目前为止，但这种技术才观察到在目标网络内的主要目的是数据的破坏中，但是将来可以轻松采用勒索瓶创造者。一些赎金软件变体已经尝试在加密数据之前删除某些类型的备份，因此定位VDI快照将是该策略的自然扩展。

11月攻击中的任何目标都没有被赛门铁克或帕洛阿尔托网络命名。