Доброе утро,
Я получил уведомление от FirePower о том, что существует исходящее соединение варианта MALWARE-CNC Win.Trojan.Gh0st с нашим сервером обмена. Я предполагаю, что одному из наших сотрудников было отправлено электронное письмо с вредоносным вложением. Я бы хотел отследить, кому это было отправлено. Вы знаете, возможно ли это. У меня есть исходный IP-адрес, но единственное, что сообщает мне уведомление FirePower, - это то, что он был направлен на наш балансировщик нагрузки для обмена. Точно не сообщает мне, в какой почтовый ящик он был отправлен. Можно ли найти эту информацию?
Спасибо, Райан
После дальнейшего расследования выяснилось, что это было создано https://malware-hunter.shodan.io/ зайдя на наш сайт Outlook Web Access.