رصدت شركة بالو ألتو نتوركس، المختصة في تطوير الجيل التالي من الحلول الأمنية، خلال شهر نوفمبر من العام 2016 عودة ظهور الهجمات المدمرة المرتبطة بسلسلة هجمات شمعون التي حدثت خلال العام 2012، والتي استهدفت إحدى الشركات في المملكة العربية السعودية، وكان من المقرر أن تقوم بمسح الأنظمة في تاريخ 17 نوفمبر 2016.
ومنذ ذلك الوقت، رصدت بالو ألتو نتوركس تجهيزاً لهجمات أخرى ولكن مختلفة عن السابقة، وذلك بهدف ضرب مؤسسة ثانية في المملكة العربية السعودية، حيث كان من المقرر مسح أنظمة المؤسسة بعد مرور اثني عشر يوماً، وذلك بتاريخ 29 نوفمبر 2016. ومن المحتمل أن تنعكس آثار هذه الهجمات المرصودة مؤخراً بشكل ملموس على الإجراءات المضادة الرئيسية المستخدمة ضد هجمات المسح، القائمة على التقاط صور لواجهة سطح المكتب الافتراضي.
أما الهجمات الحديثة فإنها مشابهة إلى حد بعيد للهجمات التي كان من المقرر تفعيلها بتاريخ 17 نوفمبر 2016، لكنها أظهرت سلوكيات مختلفة قليلاً، وتضمنت حسابات وبيانات معتمدة خاصة بالمؤسسة التي تم استهدافها. لكن الحسابات والبيانات المعتمدة تتماشى مع المتطلبات المعقدة لكلمة المرور التي يفرضها نظام التشغيل Windows، ما يشير إلى أن المهاجمين حصلوا على الحسابات والبيانات المعتمدة بواسطة هجمة سابقة ومنفصلة، وهو سلوك مشابه لهجمات 17 نوفمبر 2016.
بالإضافة إلى ذلك، استخدمت الموجة الثانية لهجمات شمعون 2 أيضاً أحمالاً من البرمجية الخبيثة Disttrack، لكنها جديدة ومماثلة للبرمجية الخبيثة التي استخدمتها هجمات شمعون 2 الأصلية. وعلى وجه التحديد، قامت باستخدام متغير من نوع 64 بت تمت تهيئته لبدء أنشطته التدميرية بتاريخ 29 نوفمبر 2016. وعلى غرار النموذج الأصلي من البرمجية الخبيثة Disttrack المستخدمة في هجمات شمعون 2 الأولى، فإن البرمجية الجديدة تتضمن وحدات مسح واتصال مخزنة ضمن المصادر، وهي قابلة للتنفيذ.
وعلى نحو مشابه للهجمات السابقة، قامت أحمال البرمجية الخبيثة Disttrack خلال هذه الهجمة بالانتشار ضمن الأنظمة الأخرى المرتبطة بالشبكة المحلية (على وجه التحديد الشبكات من نوع /42)، وذلك من خلال تسجيل الدخول باستخدام بيانات معتمدة للحسابات المشروعة، قامت بنسخ نفسها إلى النظام، ومن ثم أنشأت مهام مجدولة تقوم بتنفيذ الأحمال المنسوخة. رغم أننا تطرقنا لمناقشة هذه الطريقة في مقالنا المنشور سابقاً في مدونتنا حول ذات الموضوع، إلا أن البيانات المعتمدة للحسابات المستخدمة في هذا الهجوم كانت خاصة بالمؤسسة المستهدفة، كما أن أسماء الملف المستخدمة أثناء نسخ الأحمال إلى الأنظمة البعيدة كانت مختلفة.