seculoggerさんとことかISSKKのSOCで観測されている模様。443番ポートのトラフィックも22に以降増え気味。↓のようなログがイベントログに残るらしい

" The security package Microsoft Unified Security Protocol Provider generated an exception. The package is now disabled. The exception information is the data. "

• LSASS exploit, SSL PCT exploits, port 559 (tcp) proxy hunter, Bagle.Z(isc.incidents.or)
• 443番ポート推移(dshield.org)

Port139-MLによると伊原さんとこもかな？確認次第追記するかも。