#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessHigh
02-09-2025

RapperBot: From Infection to DDoS in a Split Second

https://www.bitsight.com/blog/rapperbot-infection-ddos-split-second

Report completeness: High

Actors/Campaigns:
Ddos-for-hire

Threats:
Rapperbot
Udpflood_technique
Mirai
Netcat_tool
Netstat_tool
Nmap_tool
Sitting_ducks_technique

Victims:
Iot devices, Nvr devices, Deepseek, X

Industry:
Iot, Ics

Geo:
Bulgaria, New zealand, Netherlands, Singapore

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1070.004, T1071.004, T1105, T1190, T1498, T1573, T1584.004, T1595, T1620, have more...

IOCs:
IP: 23
File: 6
Hash: 33
Domain: 3

Soft:
Twitter, Raspberry PI, curl, Unix, Raspberry PI QEMU, OpenSSH, Debian, linux, DeepSeek

Algorithms:
rc4, lzma, zip, rdga, xor

Functions:
main

Languages:
python

Platforms:
arm, mips, intel

Links:
https://github.com/bitsight-research/threat\_research/blob/main/rapperbot/rapperbot-iocs.json

#ParsedReport #ExtractedSchema

Classified images:
dump: 4, schema: 2, code: 2, chart: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RapperBot - это вредоносное ПО, нацеленное на устройства Интернета вещей, в частности на видеорегистраторы, для создания ботнет для DDoS-атак, что подтверждается анализом сети, показывающим необычные схемы трафика. Вредоносное ПО использует уязвимости на открытых веб-серверах, особенно с включенным UPnP, и использует инфраструктуру сканера для поиска уязвимых устройств на определенных портах. После успешной эксплуатации RapperBot работает полностью в памяти, используя методы обхода и обмениваясь данными с серверами C2 посредством зашифрованных пакетов, что подчеркивает угрозу, исходящую от устройств Интернета вещей с истекшим сроком службы, склонных к повторному заражению.
-----

В статье обсуждается вредоносное ПО, известное как RapperBot, которое превращает устройства Интернета вещей, такие как видеорегистраторы, в ботнет для DDoS-атак. Первоначальные подозрения о DDoS-атаке подтвердились, когда сетевой анализ выявил необычные коллизии пакетов и скачки трафика, связанные с этим вредоносным ПО. Детальный анализ показал, что вредоносное ПО использует специфический процесс killchain — использует уязвимости на незащищенных веб-серверах, особенно на тех, на которых включен UPnP, для внедрения и создания ботнет.

Основные элементы угрозы включают инфраструктуру сканера, которая активно проверяет уязвимые устройства на различных портах (в частности, 80, 81, 8080 и другие) с различными IP-адресами, используемыми для сканирования, включая один, отслеживаемый в Нидерландах (204.76.203.220) и предыдущий в Сингапуре. Эти сканеры нацелены на устройства, которые могут быть использованы для использования в ботнет-целях. Хранилище вредоносного ПО, центральное в инфраструктуре, подключено к IP (104.194.9.127), ответственному за обслуживание вредоносного кода по протоколам NFS и FTP.

После успешной эксплуатации вредоносное ПО удаляет свою установку из файловой системы и запускается полностью в памяти, демонстрируя уклончивое поведение путем разветвления процессов и изменения имен, чтобы избежать обнаружения. Связь с серверами командования и контроля (C2) осуществляется с помощью пользовательских зашифрованных пакетов, которые включают полезную нагрузку переменной длины, с использованием простого XOR-шифрования для обеспечения скрытности.

Инфраструктура ботнет отличается высокой устойчивостью благодаря использованию многочисленных устройств Интернета вещей с истекшим сроком службы, на которых часто отсутствуют обновления безопасности, что делает их уязвимыми для постоянного повторного заражения и эксплуатации. RapperBot был связан с масштабными DDoS-атаками на важные объекты, что делает понимание его динамики критически важным для защиты от кибербезопасности.

В ответ в статье подчеркивается необходимость как для отдельных лиц, так и для организаций принимать строгие меры безопасности: обновлять устройства, использовать надежные пароли, отключать ненужные функции, такие как UPnP, и проводить регулярную инвентаризацию и оценку уязвимостей. Комплексные протоколы кибербезопасности, включая использование систем обнаружения вторжений и анализа угроз, могут помочь снизить риски, связанные с таким сложным вредоносным ПО.

#ParsedReport #CompletenessMedium
02-09-2025

Malvertising Campaign on Meta Expands to Android, Pushing Advanced Crypto-Stealing Malware to Users Worldwide

https://www.bitdefender.com/en-us/blog/labs/malvertising-campaign-on-meta-expands-to-android-pushing-advanced-crypto-stealing-malware-to-users-worldwide

Report completeness: Medium

Threats:
Brokewell

Victims:
Android users, Windows users, Cryptocurrency users

Industry:
Financial

Geo:
Chinese, Latin america, Romanian, Vietnamese, German, French, Bulgarian, Thailand, Asia-pacific, Indonesian, Turkish, Spanish, Italian, Portuguese

ChatGPT TTPs:
do not use without manual check
T1583.009

IOCs:
Domain: 1
Url: 1
Hash: 6
File: 2

Soft:
Android, TradingView, Telegram, , adingView PRO, View - 限時優惠！, MacOS, Google Play

Wallets:
bybit

Crypto:
binance, monero

Algorithms:
md5

Functions:
getInstalledPackages, getBattery, readLOCKPIN, setInjectList, GetJSONInjectList

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В отчете Bitdefender Labs описывается активная кампания по Вредоносной рекламе с использованием платформы Meta для распространения сложного вредоносного ПО для кражи криптовалют, первоначально нацеленного на пользователей Windows, но теперь включающего цели Android по всему миру. Кампания использовала вводящую в заблуждение рекламу, выдающую себя за авторитетные бренды и криптовалютные платформы, используя по меньшей мере 75 вредоносных рекламных объявлений с июля 2025 года. Идентифицированные сигнатуры вредоносного ПО включают Generic.MSIL.WMITask и Generic.JS.WMITask для Windows, наряду с Android.Trojan.Dropper.AVV и Android.Trojan.Банкир.AVM для устройств Android.
-----

В недавнем отчете Bitdefender Labs освещается продолжающаяся кампания по Вредоносной рекламе, использующая рекламную платформу Meta для распространения продвинутого вредоносного ПО для кражи криптовалют. Первоначально эта кампания была ориентирована на пользователей настольных компьютеров Windows с помощью обманчивой рекламы, рекламирующей поддельные торговые платформы и криптовалюты, но недавно расширилась и охватила пользователей Android по всему миру. С 22 июля 2025 года в кампании было использовано по меньшей мере 75 вредоносных рекламных объявлений, которые к 22 августа охватили десятки тысяч пользователей только по всей Европе.

Кампания представляет собой более широкую операцию по Вредоносной рекламе, которая постепенно перешла от таргетинга на настольные компьютеры к мобильным устройствам. Киберпреступники, стоящие за этой схемой, выдавали себя за многочисленные авторитетные бренды, частных лиц и криптовалюты, чтобы обмануть потенциальных жертв. Вредоносное ПО, задействованное в этой кампании, было классифицировано по различным сигнатурам: в системах Windows вредоносные компоненты идентифицируются как Generic.MSIL.WMITask (MSI dropper) и Generic.JS.WMITask (интерфейсные скрипты). Между тем, угрозы на базе Android регистрируются как Android.Trojan.Dropper.AVV (дроппер вредоносного ПО) и Android.Trojan.Банкир.AVM (фактическое банковское вредоносное ПО удалено).

Чтобы снизить риски, связанные с этой кампанией, рекомендуется принять несколько мер предосторожности. Пользователям следует избегать дополнительной загрузки приложений и загружать их только из официальных источников, таких как Google Play Store. Крайне важно сохранять бдительность в отношении рекламы — даже на надежных платформах, — поскольку злоумышленники могут использовать ее для распространения вредоносного ПО. Кроме того, в анализе подчеркивается тщательное изучение URL-адресов, особенно с учетом того, что на поддельных страницах загрузки часто используются похожие домены. Пользователям также настоятельно рекомендуется тщательно проверять разрешения приложений, особенно если приложение запрашивает административный доступ, такой как элементы управления специальными возможностями или пин-коды блокировки экрана, без четкого обоснования. Рекомендуется использовать надежные решения для обеспечения безопасности, чтобы обнаруживать и блокировать идентифицированные варианты вредоносного ПО до того, как они смогут скомпрометировать устройства пользователей.

#ParsedReport #CompletenessLow
02-09-2025

The Infostealer-to-APT Pipeline: How Stolen Diplomatic Credentials Fuel Cyber-Political Power Plays

https://www.infostealers.com/article/the-infostealer-to-apt-pipeline-how-stolen-diplomatic-credentials-fuel-cyber-political-power-plays/

Report completeness: Low

Actors/Campaigns:
Void_manticore
Bitter
Sindoor

Threats:
Stealc
Lumma_stealer
Redline_stealer
Spear-phishing_technique
Wmrat

Victims:
Ministry of foreign affairs, Telecommunications, Police

Industry:
Petroleum, Financial, Critical_infrastructure, Telco

Geo:
Oman, Middle east, Arab emirates, Abu dhabi, Iranian, Qatar, Pakistan, Saudi arabia, Turkey, Asia, Brazil, Americas, Korea, Indo-pacific, United arab emirates, Ankara, Africa

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1059.005, T1071.001, T1078, T1090, T1204.002, T1566.001, T1566.002, T1589.003, have more...

Soft:
Twitter

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибершпионаж все чаще использует вредоносное ПО Infostealer для нацеливания на дипломатические учреждения, что приводит к значительному компрометированию Учетных записей эл. почты министерств иностранных дел в нескольких странах Ближнего Востока. Вредоносное ПО, такое как StealC, Lumma и Redline, собирает учетные данные, которые группы сложных целенаправленных атак используют для сложных атак, таких как Целевой фишинг-кампания Dream Security Group, нацеленная на высокопоставленные организации с использованием зараженных вложений Word. Кроме того, Bitter APT использовал скомпрометированные учетные данные полицейского управления для доступа к критически важной инфраструктуре в период повышенной геополитической напряженности.
-----

Кибершпионаж все чаще использует оппортунистическое вредоносное ПО Infostealer для целенаправленных атак, особенно против дипломатических учреждений. Недавние данные, полученные Hudson Rock, свидетельствуют о значительном количестве скомпрометированных Учетных записей эл. почты, принадлежащих министерствам иностранных дел (МИД) таких стран, как Саудовская Аравия, Южная Корея, Объединенные Арабские Эмираты, Катар и Оман. Эта тенденция подчеркивает уязвимость дипломатической инфраструктуры и иллюстрирует, как украденные учетные данные могут быть использованы более изощренными злоумышленниками.

Вредоносное ПО, такое как StealC, Lumma и Redline, без разбора собирает учетные данные, но может привести к стратегическому использованию, когда эти учетные данные впоследствии используются группами сложных целенаправленных атак с использованием сложных целенаправленных атак. Переход от широкомасштабного оппортунистического воровства к целенаправленному шпионажу очевиден в нескольких соответствующих случаях. Примечательным примером является Dream Security Group, которая в августе 2025 года развернула кампанию по Целевому фишингу, используя скомпрометированную электронную почту МИД Омана, привязанную к посольству в Париже. Эта кампания была нацелена на более чем 195 получателей, включая такие известные организации, как ООН и Всемирный банк, с помощью обманчивых электронных писем, содержащих зараженные вложения Word. Эти вложения запускали "sysProcUpdate", вариант вредоносного ПО, который облегчал сбор данных и устанавливал соединение с сервером командования и контроля (C2) с использованием узла NordVPN, базирующегося в Иордании.

Другой выделенный важный случай связан с целенаправленным наступлением Bitter APT's против Pakistan Telecommunication Company Limited (PTCL) во время обострения напряженности в ходе индийско-пакистанской Operation Sindoor в 2025 году. Этой атаке способствовали учетные данные, полученные с помощью infostealers после взлома Учетной записи эл.почты в Отделе по борьбе с терроризмом полиции Исламабада. Использование этой Учетной записи эл.почты, доступ к которой, как сообщается, был осуществлен с помощью взломанного программного обеспечения, позволило получить стратегический доступ к критически важной инфраструктуре.

Инфекции, связанные с Министерством здравоохранения Омана, служат наглядным примером того, как оппортунистические инфекции могут перерасти в геополитические риски. Отслеживание этих заражений компанией Hudson Rock подчеркивает острую необходимость проявлять бдительность в отношении фишинга и кражи учетных данных, особенно в дипломатических контекстах.

Для противодействия конвейеру "Инфокрад-к-сложным целенаправленным атакам" необходимы проактивные защитные механизмы. Такие инструменты, как Cavalier от Hudson Rock, помогают в режиме реального времени обнаруживать скомпрометированные учетные данные, что может помочь снизить риски, связанные с этими киберугрозами, обеспечивая быстрое реагирование на потенциальные нарушения. В целом, повторное использование APTs вредоносного ПО Infostealer подчеркивает меняющийся ландшафт угроз, в котором дипломатические учетные данные становятся ценными целями в геополитике.

#ParsedReport #CompletenessLow
02-09-2025

Amazon disrupts watering hole campaign by Russias APT29

https://aws.amazon.com/ru/blogs/security/amazon-disrupts-watering-hole-campaign-by-russias-apt29/

Report completeness: Low

Actors/Campaigns:
Duke

Threats:
Watering_hole_technique
Credential_harvesting_technique
Clickfix_technique

Victims:
Academics, Critics of russia, General internet users

Geo:
Russias, Russia

ChatGPT TTPs:
do not use without manual check
T1036, T1059.003, T1111, T1189, T1204.001, T1204.002, T1550.001, T1556.004, T1566.001, T1566.002, have more...

IOCs:
Domain: 2

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда Amazon по анализу угроз прервала кампанию watering hole, связанную с APT29, используя скомпрометированные законные веб-сайты для облегчения сбора учетных записей с помощью процесса аутентификации по коду устройства Microsoft. Тактика APT29's эволюционировала, демонстрируя сосредоточенность на сборе разведывательной информации, о чем свидетельствуют их прошлые попытки фишинга, нацеленные на пользователей с файлами удаленного рабочего стола и паролями для конкретных приложений. Анализ выявил многочисленные домены, контролируемые акторами, включая домен, выдающий себя за Cloudflare, что подчеркивает сохраняющуюся угрозу, создаваемую адаптивными методологиями APT29's.
-----

Команда Amazon по разведке угроз успешно выявила и пресекла кампанию watering hole, приписываемую APT29, также известной как Midnight Blizzard, которая связана со Службой внешней разведки России (СВР). Эта кампания включала в себя компрометацию законных веб-сайтов, которые использовались для направления посетителей к вредоносным инфраструктурам, направленным на то, чтобы обманом заставить пользователей предоставить доступ к устройствам, контролируемым злоумышленниками, с помощью процесса аутентификации по коду устройства Microsoft. Этот метод отражает адаптивную стратегию APT29 по совершенствованию их операций по сбору разведывательной информации.

Тактика, применяемая APT29, значительно эволюционировала с течением времени. В более раннем инциденте, произошедшем в октябре 2024 года, злоумышленник выдавал себя за AWS для фишинга пользователей с помощью файлов Протокола удаленного рабочего стола, связанных с их ресурсами. После этого, в июне 2025 года, группа Google по анализу угроз раскрыла APT29's фишинг-атаки, нацеленные на ученых и критиков России, с использованием паролей для конкретных приложений. Текущая кампания watering hole подчеркивает неизменный акцент APT29's на сборе учетных записей и сборе разведывательной информации, что еще больше демонстрирует их усовершенствованные технические методики.

С помощью аналитики, разработанной Amazon специально для инфраструктуры APT29's, исследователи обнаружили множество доменов, контролируемых акторами. Проанализировав данные, они определили, что APT29 скомпрометировал несколько законных веб-сайтов, внедрив код JavaScript, который перенаправил около 10% посетителей на эти домены. Заметный домен, используемый в операции, findcloudflare.com , был разработан для имитации законных страниц проверки Cloudflare. Основной целью кампании было использование процесса аутентификации по коду устройства Microsoft; однако важно отметить, что в ходе этой операции не было взлома систем Amazon Веб-служб (AWS) и никакого видимого воздействия на сервисы или инфраструктуру AWS.

Чтобы снизить риски, связанные с такими атаками, пользователям и организациям рекомендуется сохранять бдительность в отношении подозрительных цепочек перенаправлений, которые отображаются как страницы проверки безопасности. Крайне важно тщательно проверять законность любых запросов на авторизацию устройства, прежде чем разрешать их. Настоятельно рекомендуется внедрять Многофакторную аутентификацию (MFA) для всех учетных записей, что соответствует требованиям AWS к корневым учетным записям. Пользователям также следует быть осторожными с веб-страницами, требующими выполнения таких действий, как копирование и вставка команд или ввод данных в диалоговом окне запуска Windows (Win +R), что соответствует методу "ClickFix", который использует поведение пользователя для выполнения вредоносных команд.

#ParsedReport #CompletenessMedium
02-09-2025

Google Salesforce Breach: A Deep Dive into the UNC6040 Cyber Attack

https://www.seqrite.com/blog/google-salesforce-breach-unc6040-threat-research/

Report completeness: Medium

Actors/Campaigns:
Unc6040 (motivation: cyber_criminal, information_theft)
Unc6240
Shinyhunters
Unc6395
Lapsus
0ktapus
Shiny_spider

Threats:
Pandora
Sim_swapping_technique
Supply_chain_technique
Ultrasurf_tool
Disabling_antivirus_technique
Credential_dumping_technique
Adrecon_tool
Mimikatz_tool
Lazagne_tool
Spear-phishing_technique

Victims:
Google salesforce instance, Hospitality sector, Retail sector, Education sector, High profile brands

Industry:
Entertainment, Aerospace, Petroleum, Telco, Retail, Education, Financial

Geo:
Singapore, Canada, Los angeles, Poland, Americas, Germany, Netherlands, California

ChatGPT TTPs:
do not use without manual check
T1020, T1041, T1090, T1102, T1190, T1528, T1585, T1589, T1650, T1656, have more...

IOCs:
IP: 33
Domain: 3

Soft:
Salesforce, Salesloft Drift, Telegram, outlook

Crypto:
bitcoin

Algorithms:
exhibit

Functions:
VPNinitiated, Initial, count

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года хакерская группировка UNC6040, связанная с "The Com" и "ShinyHunters", взломала инстанс Salesforce от Google с помощью фишинговой кампании, которая использовала социальную инженерию и технические эксплойты, включая несанкционированные приложения OAuth и скомпрометированные учетные записи. Злоумышленники использовали пользовательские скрипты на Python для извлечения данных и скрывали свои действия, используя TOR и Mullvad VPN. Взлом высветил растущие риски социальной инженерии в облачных средах и предположил потенциальный переход ShinyHunters к моделям "программа-вымогатель как услуга".
-----

В июне 2025 года инстанс Google Salesforce был взломан хакерской группировкой UNC6040, связанной с онлайн-преступным сообществом, известным как "The Com", которое связано с "ShinyHunters". Это нарушение стало результатом кампании вымогательства, которая сочетала в себе как техническую эксплуатацию, так и социальную инженерию. Первоначально злоумышленники получили доступ через несанкционированные приложения OAuth, установленные через пробные учетные записи с законными доменами электронной почты, а также через скомпрометированные учетные записи несвязанных организаций.

Атака включала в себя несколько приемов. Голосовой фишинг (vishing) использовался для манипулирования сотрудниками, чтобы заставить их разглашать конфиденциальную информацию. Как только доступ был получен, злоумышленники использовали пользовательские скрипты на Python, разработанные для имитации операций загрузчика данных Salesforce, что облегчало эксфильтрацию данных. Первоначальные сообщения направлялись через IP-адреса Mullvad VPN, при этом данные передавались через выходные узлы TOR, чтобы скрыть личности злоумышленников. Впоследствии злоумышленники вымогали у жертв платежи в биткоинах.

Атрибуция атаки была частично связана с Telegram-каналом под названием "Рассеянные охотники за LAPSUS$", который служил хаотичным форумом для деятельности группы, включая объявления об утечках, опросы о дампах данных жертв и продвижение эксплойтов zero-day. Эта платформа подчеркивала человеческий фактор киберэксплуатации, подчеркивая эффективность тактики социальной инженерии. Группа UNC6040 была известна тем, что нацелилась на высокопоставленные организации в различных отраслях промышленности, что еще раз продемонстрировало масштабируемость и универсальность их методов атаки.

В ответ на это нарушение было рекомендовано несколько стратегий по устранению последствий. Организациям рекомендуется постоянно отслеживать журналы на предмет подозрительных действий при входе в систему, особенно с незнакомых IP-адресов, связанных с Mullvad или TOR. Ведение динамического реестра авторизованных приложений OAuth в сочетании со строгими рабочими процессами утверждения имеет важное значение для предотвращения несанкционированной установки приложений. Дополнительные стратегии включают внедрение голосовой аналитики для проверки звонков, всесторонний анализ сетевого трафика для обнаружения аномалий и интеграцию надежных мер безопасности конечных точек для предотвращения выполнения вредоносного кода.

По мере развития ландшафта угроз атаки, подобные этой, демонстрируют все большие риски, связанные с облачными инфраструктурами. Потенциальная эволюция группы ShinyHunters в сторону моделей "программы-вымогатели как услуга" сигнализирует о тревожной тенденции в области киберугроз, требующей сосредоточения внимания на улучшении контроля идентификации и управления доступом и ужесточении управления OAuth. Организации также должны адаптировать свои методы мониторинга и принять подход с нулевым доверием для эффективной защиты от будущих атак. Нарушение подчеркивает необходимость принятия упреждающих мер по устранению уязвимостей, подчеркивая критическую необходимость для организаций пересмотреть свои подходы к обеспечению безопасности в свете этих сложных угроз.

#cyberthreattech

Обновление Report Hub

Мы научились извлекать из тела отчета YARA-правила.
Добавлен в STIX в виде Indicator с pattern_type=yara, согласно спецификации STIX 2.1
При помощи LLM и рекомендаций по формированию и оценки YARA-правил от Florian Roth (https://github.com/Neo23x0/YARA-Style-Guide) мы автоматический оцениваем все правила по следующим критериям (все параметры оцениваются во шкале [0.0, 10.0]):

detection_quality – качество детектирования конкретной малвари (см. рекомендации от Florian Roth)
resilience – качество детектирования семейства малвари
performance – оптимальность реализации правила в части производительности
documentation – качество документирования
tests – покрытие тестами, если эта информация присутствует.
maintenance – насколько легко вносить в правило изменения.
scope – соотношение покрытия и точности детектирования (1 – score = FP rate).
complexity – оценка стиля кода в части удобочитаемости и ясности структуры.

Также мы добавили ряд полей с описанием.
qa_notes – рекомендации по работе с правилом.
qa_recommendations – рекомендации по улучшению кода правила.
qa_score – консолидированная оценка правила, на основе описанных выше критериев.

❗️Учитывайте, что все оценки даны с использованием LLM, т.е. недетерминированным способом.

YARA-правила входят в состав STIX-бандла и при загрузке его в OpenCTI дополнительных настроек не требуется. Score Indicator в OpenCTI теперь учитывает qa_score YARA-правила.

#cyberthreattech

Обновление 2 Report Hub

Также мы теперь можем подсвечивать отчеты в которых есть упоминания данных конкретного клиента, т.е. добавлять в STIX доп. тег, который виден только клиенту, если в отчете есть:

- прямое упоминание названия его компании;
- присутствуют IP/ASN, Domain, Url из его инфраструктуры;
- если в Whois-записях по доменам присутствуют связанные с клиентом записи;
- если текст отчета содержит интересующие клиента слова.

Сам набор тегов и их названий можно кастомизировать под конкретного клиента.

Завтра (04.09.2025) в 11:00 по МСК коллеги из Касперского будут рассказывать про новый отчёт об исследовании группировок, многие из которых идентифицируют себя как «проукраинские».

https://lp.kaspersky.com/ru/stream-analytical-report-by-CTI-and-TE/