Поиск данных поставщиков угроз

Угрожающие субъекты могут искать информацию/индикаторы из закрытых или открытых источников разведки об угрозах, собранных об их собственных кампаниях, а также о тех, которые проводятся другими злоумышленниками, которые могут соответствовать их целевым отраслям, возможностям/целям или другим операционным задачам. Эти отчеты могут включать описания поведения, детальные разборы атак, атомарные индикаторы, такие как хеши вредоносного ПО или IP-адреса, временные линии активности группы и многое другое. Злоумышленники могут изменить свое поведение при планировании своих будущих операций. Наблюдалось, что злоумышленники заменяют атомарные индикаторы, упомянутые в блог-постах, менее чем за неделю. Также было замечено, что злоумышленники ищут свои собственные доменные имена в данных поставщиков угроз, а затем удаляют их, вероятно, чтобы избежать ареста или дальнейшего расследования. Эта техника отличается от Поставщиков разведки об угрозах тем, что она описывает угрожающих субъектов, выполняющих разведку своей собственной активности, а не в поисках информации о жертве.