伪装账户名称

对手可能会匹配或近似合法账户的名称，使新创建的账户看起来无害。这通常会在 创建账户 期间发生，尽管账户也可能在以后重命名。这也可能与 账户访问移除 同时发生，如果对手首先删除一个账户，然后重新创建一个具有相同名称的账户。(引用: Huntress MOVEit 2023) 通常，对手会尝试伪装成服务账户，例如与合法软件、数据备份或容器集群管理相关的账户。(引用: Elastic CUBA Ransomware 2022)(引用: Aquasec Kubernetes Attack 2023) 他们还可能给账户起一个通用的、值得信赖的名称，例如“admin”、“help”或“root”。(引用: Invictus IR Cloud Ransomware 2024) 有时对手可能会根据系统中已经存在的账户来命名账户，作为 账户发现 的后续行为。 请注意，这与 冒充 不同，后者描述的是冒充特定的受信任个人或组织，而不是用户或服务账户名称。