axios-logger-helper的恶意包。该包伪装成流行的HTTP日志工具,实际上在postinstall脚本中嵌入了Base64编码的PowerShell载荷。载荷执行后,从C2服务器evil-cdn.top下载第二阶段木马,并通过进程注入方式驻留于svchost.exe中,实现隐蔽持久化。SharpHound枚举AD环境,发现一台未打补丁的域控服务器。借助Zerologon漏洞(CVE-2020-1472)重置域控机器账户密码,成功获取域管理员权限。随后使用Mimikatz导出域控内存中的哈希,并创建计划任务将impacket-secretdump工具分发至多台SQL服务器,窃取包含客户数据的数据库备份文件。Rclone工具,将窃取的约50GB数据加密后上传至攻击者控制的MEGA云盘。为规避检测,外传流量被伪装为HTTPS流量,并利用Let's Encrypt签发的合法证书与C2通信。同时,攻击者删除部分Windows事件日志,并设置ADS(备用数据流)隐藏后门工具。