沙特阿美和其他能源公司2012年销毁硬盘的恶意软件Shamoon的一个新变种在沙特的多个组织发起了一场新的运动，研究人员称之为“精心策划的行动”。这种新的变体与2012年袭击中使用的版本几乎完全相同，它已经取代了之前显示的信息——其中包括一面燃烧的美国国旗的图像——用的是艾伦·库迪（Alan Kurdi）的尸体照片。

彭博社报道说，沙特官员的数字取证显示，袭击来自伊朗。几个沙特政府机构是受到攻击的组织之一。

雨刷恶意软件本身使用Raw Disk，这是一个来自EldoS的商业软件驱动程序，它允许直接访问受感染系统的磁盘驱动器来写入数据-或者在这种情况下，覆盖数据。2014年，在对索尼影业（Sony Pictures）的“雨刷”攻击中使用了同样的驱动程序。在开始擦除之前，恶意软件将受感染计算机的系统时钟设置为2012年8月的随机日期，根据FireEye的一份报告-可能会绕过EldoS驱动程序中的代码，无法检查有效的许可证。“分析表明，这可能是为了确保擦拭主引导记录（MBR）和卷引导记录（VBR）的（EldoS驱动程序）在其测试许可有效期内。”

新的Shamoon变体试图通过打开文件共享和尝试连接到公共网络文件共享来在整个网络中传播，并且它禁用了Windows Registry更改的远程控制会话的用户访问控制。恶意软件试图连接到ADMIN$、C$Windows、D$Windows和E$Windows首先在目标系统上与本地用户的当前权限共享。如果它们不足以访问这些股票，它就开始尝试窃取的凭据-已经被硬编码到恶意软件样本中的凭据，这表明攻击者以前已经成功地穿透了目标网络，并为Windows域管理员和其他高级帐户获取了用户凭据。当它发现这些共享可用时，它会将自己复制到另一个系统的Windows目录中。

虽然这些最新的恶意软件攻击包括了与命令和控制系统通信的代码，但攻击者显然禁用了代码，使其指向一个不存在的服务器。显然，人们并不想泄露信息——尽管在Shamoon被激活之前，信息很可能已经被窃取，而磁盘雨刷可能已经被攻击者留下作为离别礼物。