“为了保持隐秘，他们使用 wevtutil 命令擦除事件日志，从 Windows 安全、系统和应用程序日志中删除其操作的痕迹，”Raghuprasad 指出ip在线代理如何使用。“最终，他们执行 Mimikatz 命令，从受害者机器的内存中转储和窃取密码和 NTLM 哈希值。”

　　攻击的最终结果是黑客团队从受感染的主机窃取密码和 NTLM 哈希。对与 Cobalt Strike 工具相关的命令和控制 (C2) 服务器的进一步分析表明，威胁行为者将目录列表留在互联网上可访问，从而暴露了托管在阿里云服务器上的全套对抗工具和框架。

　　Raghuprasad 表示：“根据我们对其他后利用活动的观察，我们有信心认为攻击者的动机不仅限于获取凭证，例如建立持久性、提升到系统级权限以及可能访问对抗框架，这表明未来发生攻击的可能性。”