10.88.0.0/16)的告警,类型涵盖可疑计划任务创建、异常WMI调用及非授权SMB连接。初步分析发现,攻击者利用cPanel WHM任意文件读取漏洞(CVE-2026-29205)获得初始访问权限,随后通过wmiexec.py在内网横向移动。攻击者同时释放了TeamPCP污染过的开源库,触发大量误报,试图淹没真正威胁。svchost.exe的异常进程(实际为rundll32.exe被重命名)持续向C2服务器(malicious-update.cdn)发起HTTPS心跳,且其父进程为计划任务MicrosoftEdgeUpdateTask,确认其为真正的威胁。Mimikatz在内存中留存的凭据哈希,发现攻击者已成功窃取域管理员账号svc_backup。进一步溯源发现,攻击者于05月23日通过钓鱼邮件植入AgentTesla,但当时被EDR误判为低危。安全团队随后在域控制器上重置所有受影响的账号密码,并删除恶意计划任务及注册表持久化项。