资安业者卡巴斯基揭露名为DuneQuixote的攻击行动,接著,对方使用XOR演算法解码字串,取得Windows核心特定DLL档案的名称,成功后就会透过动态解析API呼叫,并利用多种方式得到记忆体的位置,然后以特殊手法解出C2的IP位址(研究人员并未透露手法为何),从而下载后门程式并执行。研究人员指出,攻击者采用上述手法取得C2IP位址的原因,是为了避免遭到恶意软体分析系统拦截。
而针对后门程式的部分,研究人员看到了两种版本的CR4T,一个以C及C++开发,另一个采用Go语言开发,但两者功能几乎完全相同。
值得留意的是,研究人员推测,这起攻击行动可能从去年2月就开始,相关恶意程式主要出现于中东地区,但似乎也有人从韩国、卢森堡、日本、加拿大、荷兰、美国上传相关档案到恶意程式分析平台,对此研究人员认为,这些人很有可能是透过VPN来传输档案。