Пользователь с ipv6 localhost с именем совпадающим c именем компа пытается авторизоваться в системе. Что это может быть?

Question

[Il-DA-R]

В последнее время появилось много событий безопасности: "Неизвестное имя пользователя или неверный пароль." от имени пользователя совпадающего с именем сервера.
Система: Windows Server 2022 Standart
Поднятые службы: Службы удаленных рабочих столов, в том числе доступ снаружи через шлюз удаленных рабочих столов.
Есть расшаренная папка для доменных пользователей
Что это? Брутфорс? Но почему только одна не существующая учетка, а не перебор имен?

"Учетной записи не удалось выполнить вход в систему.
Субъект:
	ИД безопасности:		S-1-0-0
	Имя учетной записи:		-
	Домен учетной записи:		-
	Код входа:		0x0

Тип входа:			3

Учетная запись, которой не удалось выполнить вход:
	ИД безопасности:		S-1-0-0
	Имя учетной записи:		TS2GL
	Домен учетной записи:		MDOMAIN

Сведения об ошибке:
	Причина ошибки:		Неизвестное имя пользователя или неверный пароль.
	Состояние:			0xC000006D
	Подсостояние:		0xC0000064

Сведения о процессе:
	Идентификатор процесса вызывающей стороны:	0x0
	Имя процесса вызывающей стороны:	-

Сведения о сети:
	Имя рабочей станции:	TS2GL
	Сетевой адрес источника:	::1
	Порт источника:		50488

Сведения о проверке подлинности:
	Процесс входа:		NtLmSsp 
	Пакет проверки подлинности:	NTLM
	Промежуточные службы:	-
	Имя пакета (только NTLM):	-
	Длина ключа:		0

Comments

[Drno]

если это localhost - то с чего это брутфорс?

Answer 1

[MVV]

Коды ошибки показывают, что какая-то программа пытается подключиться к вашему компьютеру с него самого или, возможно, - с другого компьютера через какую-то выполняющуюся на вашем компьютерее программу, типа веб-сервера, через сеть с указанной (и не существующей) учетной записью.
Чтобы понять, какая программа на вашем компьютере это пытается, попробуйте включить ненадолго аудит процессов, чтобы получить сведения о програмах и поискать корреляцию.