Buen día,
Recibí una notificación de FirePower de que había una conexión saliente variante MALWARE-CNC Win.Trojan.Gh0st a nuestro servidor Exchange. Supongo que se envió un correo electrónico a uno de nuestro personal que tiene un archivo adjunto malicioso. Sin embargo, me gustaría saber a quién se envió esto. ¿Sabes si eso es posible? Tengo la IP de origen, pero lo único que me dice la notificación de FirePower es que fue dirigida a nuestro balanceador de carga para su intercambio. Tampoco me dice exactamente a qué buzón se envió. ¿Es posible encontrar esta información?
Gracias, ryan
Respuesta1
Tras una investigación más profunda, parece que esto fue generado porhttps://malware-hunter.shodan.io/accediendo a nuestro sitio Outlook Web Access.