ТЕХНІЧНИЙ ОПИС

Зловмисники можуть шукати інформацію або індикатори у закритих чи відкритих джерелах розвідки загроз (Threat Intelligence), зібраних як про їхні власні кампанії, так і про операції інших груп, що можуть відповідати їхнім цільовим галузям, технічним можливостям або оперативним цілям. Ці звіти можуть включати описи поведінки, детальні аналізи атак, атомарні індикатори (такі як хеш-суми шкідливого ПЗ або IP-адреси), хронологію діяльності груп та багато іншого. Зловмисники можуть змінювати свою поведінку під час планування майбутніх операцій на основі цих даних.

Було помічено, що зловмисники замінюють атомарні індикатори, згадані в публікаціях у блогах, менш ніж за тиждень. Також зафіксовані випадки, коли зловмисники шукали власні доменні імена в даних постачальників Threat Intelligence, а потім видаляли їх, імовірно, щоб уникнути конфіскації доменів або подальшого розслідування.

Ця техніка відрізняється від Threat Intel Vendors (T1596) тим, що вона описує суб’єктів загроз, які здійснюють розвідку своєї власної діяльності, а не пошук інформації про жертву.