Вечером (около 22:00 часов), пока администраторы спали, из под учётной записи с правами администратора домена прямо на единственном сервере Exchange 2016 была создана учётная запись и почтовый ящик HealthMailboxLUTF212, а затем экспортированы в PST. Внутри ящика ничего не оказалось.
При разборе полётов было выяснено, что администратор не работал в этом время, а почтовый ящик сильно выделяется на фоне других системных HealthMailbox (на скринах видно). Я всей своей паранойей подозреваю, что это какая-то неумелая маскировка действий человека, но не понимаю зачем это сделано. Я ошибаюсь или это злоумышленник?
Вот логи из системы аудита:
- Attribute Modified : User account control
Old Value : User is Disabled
New Value : Account enabled
- Mailbox created with following details :
Name: HealthMailboxLUTF212
Alias: HealthMailboxLUTF212
Mailbox type: User Mailbox
E-Mail addresses ( proxy addresses ): SMTP : HealthMailboxLUTF212@внутренний_домен
Storage group: Databases
Storage database: база_данных
Organizational unit: внутренний_домен\Users
Средний
Средний
