Структура фидов
Описание структуры фидов
4RAYS_PULSE – группа IOCs, полученных командой 4RAYS в ходе оригинальных исследований (DFIR, TI).
- ACTIVE_C2
- APT
- PHISHING
- INTRUSION
- HONEYPOT_PAYLOAD
- HONEYPOT_ATTACKER
- CYBERCRIME
- C2
- RANSOMWARE
- STEALER
- CRYPTOMINING
- BOTNET
- MALWARE(MALICIOUS)
- HACKTOOL
- BACKDOOR
- EXPLOIT
GENERIC – группа IOCs, полученных в результате анализа публичных источников.
- APT
- PHISHING
- INTRUSION
- CYBERCRIME
- C2
- RANSOMWARE
- STEALER
- CRYPTOMINING
- BOTNET
- MALWARE(MALICIOUS)
- HACKTOOL
- BACKDOOR
FINCERT – индикаторы компрометации из базы данных ФинЦЕРТ.
FINCERT - Фид содержит индикаторы компрометации (IOCs), предоставляемые ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) — государственной системой, специализирующейся на кибербезопасности в финансовом секторе. Включает данные об угрозах, направленных против банков, платежных систем и других финансовых организаций России.
FSTEC – индикаторы компрометации из базы данных ФСТЭК России.
FSTEC - Фид содержит индикаторы компрометации из официальной базы ФСТЭК России (Федеральная служба по техническому и экспортному контролю) — федерального органа исполнительной власти, отвечающего за информационную безопасность и защиту критической информационной инфраструктуры страны.
NETWORK_ANONYMITY - фиды для обнаружения сервисов анонимизации и обхода ограничений.
- VPN
- TOR
- PROXY
Описание фидов
4RAYS_PULSE
Группа IOCs, полученных командой 4RAYS в ходе оригинальных исследований (DFIR, TI).
Запрос основной группы:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа 4RAYS_PULSE:
{
"id": "1a4770cc-5037-481f-a69a-4808532b6544",
"type": "IPV4",
"value": "192.0.2.0",
"created_at": "2025-11-12T16:28:38.041465Z",
"updated_at": "2025-12-08T09:27:42.024619Z",
"first_seen": "2023-09-12T14:16:37.735600Z",
"last_seen": "2023-09-12T14:16:37.735600Z",
"zone": "MALICIOUS",
"categories": [
"malware",
"ransomware"
],
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2033-09-12T14:16:37.7356Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2033-09-12T14:16:37.7356Z",
"feeds": [
{
"name": "ransomware",
"action": "UPDATE",
"valid_until": "2033-09-12T14:16:37.7356Z"
},
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2033-09-12T14:16:37.7356Z"
}
]
}
]
}
],
"related_objects": [
{
"id": "8067c48b-75f0-45ef-8ec7-700a97f13ff0",
"type": "REPORT",
"value": "Cuba ransomware IOC's"
}
],
"network": {
"heurstics": [
{
"risk_level": "MEDIUM",
"description": "IP адрес относится к подозрительному ASN"
},
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
}
]
}
}
ACTIVE_C2
Индикаторы компрометации, используемые злоумышленниками в качестве серверов управления, которые экспертный центр Solar 4RAYS наблюдает в атаках на текущий момент.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/active_c2' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "5159f488-25e1-4ef3-b2ff-89fd4f70688d",
"type": "IPV4",
"value": "192.0.2.0",
"created_at": "2025-11-12T16:28:58.172801Z",
"updated_at": "2025-12-08T09:28:09.761373Z",
"first_seen": "2024-05-20T12:16:39.146883Z",
"last_seen": "2024-05-20T12:16:39.146883Z",
"zone": "MALICIOUS",
"categories": [
"active_c2",
"c2"
],
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2034-05-20T12:16:39.146883Z",
"feeds": [
{
"name": "active_c2",
"action": "UPDATE",
"valid_until": "2034-05-20T12:16:39.146883Z"
},
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2034-05-20T12:16:39.146883Z",
"feeds": [
{
"name": "c2",
"action": "UPDATE",
"valid_until": "2034-05-20T12:16:39.146883Z"
}
]
}
]
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "MEDIUM",
"description": "IP адрес относится к подозрительному ASN"
}
]
}
}
APT
Фид APT содержит индикаторы компрометации, выявленные в целевых атаках, осуществляемых высококвалифицированными группировками.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/apt' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "13f313b7-9d1a-4a5c-beba-8720874c25be",
"type": "DOMAIN",
"value": "ttl.example.com",
"created_at": "2025-11-12T16:28:38.061516Z",
"updated_at": "2025-12-08T09:27:41.349136Z",
"first_seen": "2025-07-01T11:18:47.550000Z",
"last_seen": "2025-07-01T11:18:47.550000Z",
"zone": "MALICIOUS",
"categories": [
"malware",
"apt",
"c2"
],
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z",
"feeds": [
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z"
},
{
"name": "c2",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z"
}
]
},
{
"name": "apt",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z"
}
]
},
{
"name": "fstec",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z"
}
],
"contexts": [
{
"source_name": "fstec"
}
],
"related_objects": [
{
"id": "abfb73ab-7930-4e81-bf6c-db2d3a7df00b",
"type": "THREAT_ACTOR",
"value": "Obstinate Mogwai"
},
{
"id": "b7c17e6b-efe0-42d6-9e26-117d78b60d6b",
"type": "FILE",
"value": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
}
]
}
}
PHISHING
Индикаторы компрометации, которые были замечены в фишинговых рассылках электронной почты или потенциально могут быть использованы в таких рассылках.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/phishing' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "abe808a5-d99c-4cd9-9658-8a36e17b430c",
"type": "DOMAIN",
"value": "test.example.xyz",
"created_at": "2025-11-12T16:28:38.061516Z",
"updated_at": "2025-12-08T09:27:43.093010Z",
"first_seen": "2023-02-21T12:57:14.263349Z",
"last_seen": "2023-02-21T12:57:14.263349Z",
"zone": "MALICIOUS",
"categories": [
"malware",
"phishing"
],
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2033-02-21T12:57:14.263349Z",
"feeds": [
{
"name": "phishing",
"action": "UPDATE",
"valid_until": "2033-02-21T12:57:14.263349Z"
},
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2033-02-21T12:57:14.263349Z",
"feeds": [
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2033-02-21T12:57:14.263349Z"
}
]
}
]
},
{
"name": "generic",
"action": "DELETE",
"valid_until": "2033-02-21T12:57:14.263349Z",
"feeds": [
{
"name": "phishing",
"action": "DELETE",
"valid_until": "2033-02-21T12:57:14.263349Z"
},
{
"name": "cybercrime",
"action": "DELETE",
"valid_until": "2033-02-21T12:57:14.263349Z",
"feeds": [
{
"name": "malware",
"action": "DELETE",
"valid_until": "2033-02-21T12:57:14.263349Z"
}
]
}
]
}
],
"related_objects": [
{
"id": "17ba9628-a55d-4278-9f1a-511bb184aa57",
"type": "REPORT",
"value": "These aren't the apps you're looking for: fake installers targeting Southeast and East Asia"
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
}
]
}
}
INTRUSION
Категория «Intrusion» включает IP-адреса, с которых зафиксированы попытки несанкционированного доступа (атаки) к ресурсам компании.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/intrusion' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "4a68b908-b2ff-45d5-8d92-d07da9a8b879",
"type": "IPV4",
"value": "192.0.2.0",
"created_at": "2025-11-12T16:28:38.061516Z",
"updated_at": "2025-12-08T09:27:42.012609Z",
"first_seen": "2025-07-01T11:18:47.550000Z",
"last_seen": "2025-07-01T11:18:47.550000Z",
"zone": "MALICIOUS",
"categories": [
"malware",
"intrusion"
],
"feeds": [
{
"name": "fincert",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z"
},
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z",
"feeds": [
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z"
}
]
},
{
"name": "intrusion",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z"
}
]
},
{
"name": "fstec",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z"
}
],
"contexts": [
{
"source_name": "fstec"
}
],
"related_objects": [
{
"id": "abfb73ab-7930-4e81-bf6c-db2d3a7df00b",
"type": "THREAT_ACTOR",
"value": "Obstinate Mogwai"
}
],
"network": {
"heurstics": [
{
"risk_level": "MEDIUM",
"description": "IP адрес относится к подозрительному ASN"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
},
{
"risk_level": "MEDIUM",
"description": "Индикатор распространялся в бюллетенях ФинЦЕРТ"
}
]
}
}
HONEYPOT_PAYLOAD
Индикаторы вредоносных компонентов (payload), которые были дополнительно загружены, перехвачены и изучены с помощью специально развернутых «ловушек» (honeypots).
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/honeypot_payload' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "ce847415-f00f-47fb-968f-228852c4b311",
"type": "URL",
"value": "http://192.0.2.0/la.bot.arm7",
"created_at": "2025-11-12T16:30:10.048407Z",
"updated_at": "2025-12-08T09:29:18.868259Z",
"first_seen": "2024-08-21T11:17:51.368519Z",
"last_seen": "2024-08-21T11:17:51.368519Z",
"zone": "MALICIOUS",
"categories": [
"honeypot_payload"
],
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2034-08-21T11:17:51.368519Z",
"feeds": [
{
"name": "honeypot_payload",
"action": "UPDATE",
"valid_until": "2034-08-21T11:17:51.368519Z"
}
]
}
],
"related_objects": [
{
"id": "7ee75ad7-53e3-41a6-964a-a8f877a32161",
"type": "REPORT",
"value": "Botnets Continue to Target Aging D-Link Vulnerabilities"
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
},
{
"risk_level": "MEDIUM",
"description": "Индикатор использовался как полезная нагрузка при атаке на ханипоты "
}
]
}
}
HONEYPOT_ATTACKER
Индикаторы, которые были замечены в качестве атакующих на специально развернутые «ловушки» (honeypots).
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/honeypot_attacker' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "22d51939-f19c-4b22-9a46-cf58723c6e17",
"type": "IPV4",
"value": "192.0.2.0",
"created_at": "2025-11-12T16:48:44.224093Z",
"updated_at": "2025-12-08T14:24:42.665193Z",
"first_seen": "2025-12-08T14:21:58.474553Z",
"last_seen": "2025-12-08T14:21:58.474666Z",
"zone": "SUSPICIOUS",
"categories": [
"honeypot_attacker",
"proxy"
],
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2035-12-08T14:21:58.474666Z",
"feeds": [
{
"name": "honeypot_attacker",
"action": "UPDATE",
"valid_until": "2035-12-08T14:21:58.474666Z"
}
]
},
{
"name": "network_anonymity",
"action": "UPDATE",
"valid_until": "2035-12-08T14:21:58.474666Z",
"feeds": [
{
"name": "vpn",
"action": "DELETE",
"valid_until": "2035-12-08T14:21:58.474666Z"
},
{
"name": "proxy",
"action": "UPDATE",
"valid_until": "2035-12-08T14:21:58.474666Z"
}
]
}
],
"contexts": [
{
"source_name": "ipapi",
"attributes": {
"asn": "150274",
"isp": "Pt Gateway Media Zafira",
"is_crawler": "false",
"is_tor": "false",
"country": "Indonesia",
"hosting_facility": "false",
"is_proxy": "false"
}
},
{
"source_name": "whois"
}
],
"network": {
"heurstics": [
{
"risk_level": "MEDIUM",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "MEDIUM",
"description": "Индикатор был замечен в атаках на ханипоты"
}
]
}
}
CYBERCRIME
Группа IOCs, связанных с киберпреступной деятельностью. Содержит вложенные фиды для различных типов вредоносного ПО.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/cybercrime' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "6d1435a0-32bd-4f13-9216-19dc757c547b",
"type": "SOCKETV4",
"value": "192.0.2.0:28377",
"created_at": "2025-11-12T16:35:08.839482Z",
"updated_at": "2025-12-08T14:52:15.908786Z",
"first_seen": "2024-09-04T14:01:13.904238Z",
"last_seen": "2025-12-08T14:51:25.019442Z",
"zone": "SUSPICIOUS",
"categories": [
"c2",
"malware",
"stealer"
],
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2035-12-08T14:51:25.019442Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2035-12-08T14:51:25.019442Z",
"feeds": [
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2035-12-08T14:51:25.019442Z"
},
{
"name": "stealer",
"action": "UPDATE",
"valid_until": "2035-12-08T14:51:25.019442Z"
},
{
"name": "c2",
"action": "UPDATE",
"valid_until": "2035-12-08T14:51:25.019442Z"
}
]
}
]
}
],
"contexts": [
{
"source_name": "ipapi",
"attributes": {
"is_tor": "false",
"hosting_facility": "false",
"country": "United States",
"asn": "13335",
"isp": "Cloudflare",
"is_proxy": "true",
"is_crawler": "false"
}
},
{
"source_name": "whois"
}
],
"related_objects": [
{
"id": "945ee725-f485-44c6-928e-602cb5c59f50",
"type": "REPORT",
"value": "Mail MeduzaStealer"
}
]
}
C2
Индикаторы компрометации, используемые злоумышленниками в качестве серверов управления своим вредоносным ПО.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/cybercrime/c2' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "23a31cdb-84aa-47cb-86bb-9d789d026c2a",
"type": "SOCKETV4",
"value": "192.0.2.0:28377",
"created_at": "2025-11-12T16:52:54.662980Z",
"updated_at": "2025-12-08T14:18:36.830470Z",
"first_seen": "2025-05-19T17:12:09.202000Z",
"last_seen": "2025-12-08T14:15:22.135581Z",
"zone": "MALICIOUS",
"categories": [
"apt",
"c2",
"malware"
],
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2035-12-08T14:15:22.135581Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2035-12-08T14:15:22.135581Z",
"feeds": [
{
"name": "c2",
"action": "UPDATE",
"valid_until": "2035-12-08T14:15:22.135581Z"
},
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2035-12-08T14:15:22.135581Z"
}
]
},
{
"name": "apt",
"action": "UPDATE",
"valid_until": "2035-12-08T14:15:22.135581Z"
}
]
}
],
"contexts": [
{
"source_name": "whois"
},
{
"source_name": "ipapi",
"attributes": {
"isp": "Jsc Iot",
"is_proxy": "false",
"is_crawler": "false",
"is_tor": "false",
"hosting_facility": "true",
"country": "Russia",
"asn": "29182"
}
}
],
"related_objects": [
{
"id": "71f75756-9994-416c-b7d0-472750948687",
"type": "THREAT_ACTOR",
"value": "GOFFEE"
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
},
{
"risk_level": "MEDIUM",
"description": "IP адрес относится к подозрительному ASN"
}
]
}
}
RANSOMWARE
Включает все индикаторы, непосредственно или косвенно связанные с деятельностью программ-шифровальщиков.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/cybercrime/ransomware' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "b2048770-2156-4c30-9dfc-b40c92736d72",
"type": "SHA1",
"value": "da39a3ee5e6b4b0d3255bfef95601890afd80709",
"created_at": "2025-11-12T18:15:31.554881Z",
"updated_at": "2025-12-08T12:17:38.236606Z",
"first_seen": "2025-01-02T00:29:14.493129Z",
"last_seen": "2025-01-02T00:29:14.493129Z",
"zone": "MALICIOUS",
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"feeds": [
{
"name": "ransomware",
"action": "UPDATE"
},
{
"name": "malware",
"action": "UPDATE"
}
]
}
]
}
],
"file": {
"verdicts": [
"Win.Ransomware.GrandCrab.1a"
],
"malware_family": [
"gandcrab"
],
"hashes": {
"sha1": "da39a3ee5e6b4b0d3255bfef95601890afd80709"
}
}
}
STEALER
Индикаторы, связанные со специализированным вредоносным ПО, предназначенным для сбора и кражи паролей, учётных данных, финансовой информации и прочих конфиденциальных данных.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/cybercrime/stealer' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "14bf531a-6989-4398-81e6-e09fc691f05e",
"type": "DOMAIN",
"value": "mail.example.xyz",
"created_at": "2025-11-12T16:30:00.532699Z",
"updated_at": "2025-12-08T09:29:16.178659Z",
"first_seen": "2025-07-01T11:54:33.262000Z",
"last_seen": "2025-07-01T11:54:33.262000Z",
"zone": "MALICIOUS",
"categories": [
"malware",
"phishing",
"stealer"
],
"feeds": [
{
"name": "fstec",
"action": "UPDATE",
"valid_until": "2035-07-01T11:54:33.262Z"
},
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2035-07-01T11:54:33.262Z",
"feeds": [
{
"name": "phishing",
"action": "UPDATE",
"valid_until": "2035-07-01T11:54:33.262Z"
},
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2035-07-01T11:54:33.262Z",
"feeds": [
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2035-07-01T11:54:33.262Z"
},
{
"name": "stealer",
"action": "UPDATE",
"valid_until": "2035-07-01T11:54:33.262Z"
}
]
}
]
}
],
"contexts": [
{
"source_name": "fstec"
}
],
"related_objects": [
{
"id": "4f4ec268-b840-4204-999c-2dce1f1d663d",
"type": "REPORT",
"value": "Mail Contract.bz Snakekeylogger"
},
{
"id": "1096457b-767b-416d-b8a1-1fd7ccfa2b47",
"type": "REPORT",
"value": "snakestealer"
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
},
{
"risk_level": "MEDIUM",
"description": "WHOIS-запись домена содержит подозрительный контент."
}
]
}
}
CRYPTOMINING
Индикаторы, связанные со специализированным вредоносным ПО, предназначенным для майнинга криптовалют с использованием ресурсов компьютеров пользователей.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/cybercrime/cryptomining' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "a5596057-c79d-421d-a707-89ab84945414",
"type": "DOMAIN",
"value": "m7.example.xyz",
"created_at": "2025-11-12T16:37:50.329599Z",
"updated_at": "2025-12-08T09:38:41.876091Z",
"first_seen": "2024-10-05T00:23:51.591511Z",
"last_seen": "2024-10-05T00:23:51.591511Z",
"zone": "MALICIOUS",
"categories": [
"cryptomining",
"malware"
],
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2034-10-05T00:23:51.591511Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2034-10-05T00:23:51.591511Z",
"feeds": [
{
"name": "cryptomining",
"action": "UPDATE",
"valid_until": "2034-10-05T00:23:51.591511Z"
},
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2034-10-05T00:23:51.591511Z"
}
]
}
]
}
],
"related_objects": [
{
"id": "a6ebb810-27d7-4b59-aec0-3e5fa336a261",
"type": "REPORT",
"value": "Redis honeypot: server with vulnerable Redis database reveals new SkidMap modification used to hide cryptocurrency mining process"
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
}
]
}
}
BOTNET
Фид Botnet содержит индикаторы, связанные со специализированным вредоносным ПО, предназначенным для создания или распространения сети заражённых устройств (bot).
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/cybercrime/botnet' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "50f211c8-1af3-4345-b0fd-0a381fdafa17",
"type": "URL",
"value": "http://192.0.2.0/rempro/",
"created_at": "2025-11-12T16:28:54.883330Z",
"updated_at": "2025-12-08T09:28:08.128649Z",
"first_seen": "2024-03-27T14:14:07.560733Z",
"last_seen": "2024-03-27T14:14:07.560733Z",
"zone": "MALICIOUS",
"categories": [
"botnet",
"malware"
],
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2034-03-27T14:14:07.560733Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2034-03-27T14:14:07.560733Z",
"feeds": [
{
"name": "botnet",
"action": "UPDATE",
"valid_until": "2034-03-27T14:14:07.560733Z"
},
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2034-03-27T14:14:07.560733Z"
}
]
}
]
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
}
]
}
}
MALWARE
Объединяет все индикаторы, связанные с вредоносным программным обеспечением, включая различные типы вредоносного ПО.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/cybercrime/malware' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "ee5ca9b4-7a97-4da0-bae1-9f31b86accb6",
"type": "MD5",
"value": "d41d8cd98f00b204e9800998ecf8427e",
"created_at": "2025-12-03T17:30:18.846579Z",
"updated_at": "2025-12-08T12:54:15.990011Z",
"first_seen": "2025-12-03T17:30:16.258639Z",
"last_seen": "2025-12-03T17:30:16.258639Z",
"zone": "MALICIOUS",
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"feeds": [
{
"name": "malware",
"action": "UPDATE"
},
{
"name": "backdoor",
"action": "UPDATE"
}
]
}
]
}
],
"file": {
"verdicts": [
"OSA_NPM:Cross.Backdoor.NpmInstallScript.1"
],
"malware_family": [
"npminstallscript"
],
"file_identifiers": [
"zhilian-js-sdk-v12.0.11.tar.gz"
],
"size": 1958,
"mime": "application/gzip",
"hashes": {
"md5": "d41d8cd98f00b204e9800998ecf8427e",
"sha1": "da39a3ee5e6b4b0d3255bfef95601890afd80709",
"sha256": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
}
}
}
HACKTOOL
Категория вредоносных или полулегальных программ, предназначенных для взлома, обхода защиты или автоматизации кибератак.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/cybercrime/hacktool' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "91bbbbd2-78c2-400a-8136-31b9a87f2f40",
"type": "SHA256",
"value": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
"created_at": "2025-12-03T17:28:06.846710Z",
"updated_at": "2025-12-08T12:54:15.739734Z",
"first_seen": "2025-12-03T17:28:04.516352Z",
"last_seen": "2025-12-03T17:28:04.516352Z",
"zone": "MALICIOUS",
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"feeds": [
{
"name": "malware",
"action": "UPDATE"
},
{
"name": "hacktool",
"action": "UPDATE"
}
]
}
]
}
],
"file": {
"verdicts": [
"OSA_NPM:Cross.Hacktool.ShadyLinks.1"
],
"malware_family": [
"shadylinks"
],
"file_identifiers": [
"yoga-repo-v1.0.0.tar.gz"
],
"size": 472,
"mime": "application/gzip",
"hashes": {
"md5": "d41d8cd98f00b204e9800998ecf8427e",
"sha1": "da39a3ee5e6b4b0d3255bfef95601890afd80709",
"sha256": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
}
}
}
BACKDOOR
Содержит индикаторы, связанные с бэкдорами — вредоносными программами, которые обеспечивают злоумышленникам скрытый доступ к зараженным системам.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/cybercrime/backdoor' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "59043d0a-01bb-446b-99f8-8c1d9ab2a379",
"type": "SHA1",
"value": "da39a3ee5e6b4b0d3255bfef95601890afd80709",
"created_at": "2025-12-03T16:17:41.448234Z",
"updated_at": "2025-12-08T12:54:03.734037Z",
"first_seen": "2025-12-03T16:17:39.014242Z",
"last_seen": "2025-12-03T16:17:39.014242Z",
"zone": "MALICIOUS",
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"feeds": [
{
"name": "backdoor",
"action": "UPDATE"
},
{
"name": "malware",
"action": "UPDATE"
}
]
}
]
}
],
"file": {
"verdicts": [
"OSA_NPM:Cross.Backdoor.NpmInstallScript.1"
],
"malware_family": [
"npminstallscript"
],
"file_identifiers": [
"tdm-shared-core-library-v99.0.1.tar.gz"
],
"size": 1359,
"mime": "application/gzip",
"hashes": {
"md5": "d41d8cd98f00b204e9800998ecf8427e",
"sha1": "da39a3ee5e6b4b0d3255bfef95601890afd80709",
"sha256": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
}
}
}
EXPLOIT
Содержит индикаторы, связанные с эксплойтами — инструментами для эксплуатации уязвимостей в программном обеспечении.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse/cybercrime/exploit' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "06ed4296-45b9-43c1-b751-f1be8392385e",
"type": "SHA256",
"value": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
"created_at": "2025-11-12T18:33:15.774157Z",
"updated_at": "2025-12-08T11:57:13.654079Z",
"first_seen": "2025-10-08T07:14:36.488440Z",
"last_seen": "2025-12-03T11:30:14.579003Z",
"zone": "MALICIOUS",
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"feeds": [
{
"name": "exploit",
"action": "UPDATE"
},
{
"name": "malware",
"action": "UPDATE"
}
]
}
]
}
],
"file": {
"verdicts": [
"OSA_PYPI:Cross.Exploit.CmdOverwrite.1"
],
"malware_family": [
"cmdoverwrite"
],
"file_identifiers": [
"artifact_lab_3_package-0.1.2.tar.gz"
],
"size": 1467,
"mime": "application/gzip",
"hashes": {
"sha256": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
}
}
}
GENERIC
Группа IOCs, полученных в результате анализа публичных источников.
Запрос основной группы:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/generic' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа GENERIC:
{
"id": "ea3763e8-b5e8-4a4d-8bef-2979e6004101",
"type": "SHA256",
"value": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
"created_at": "2025-11-12T17:26:14.157981Z",
"updated_at": "2025-12-06T06:43:15.127107Z",
"first_seen": "2024-08-30T00:30:17.260383Z",
"last_seen": "2024-08-30T00:32:06.744561Z",
"zone": "UNKNOWN",
"feeds": [
{
"name": "generic",
"action": "UPDATE"
},
{
"name": "fincert",
"action": "UPDATE"
}
],
"file": {
"size": 2085376,
"hashes": {
"md5": "d41d8cd98f00b204e9800998ecf8427e",
"sha1": "da39a3ee5e6b4b0d3255bfef95601890afd80709",
"sha256": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
}
}
}
APT
Фид APT содержит индикаторы компрометации из публичных источников, выявленные в целевых атаках.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/generic/apt' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "02f28995-fa02-44be-af79-54f9e0181938",
"type": "IPV4",
"value": "192.0.2.0",
"created_at": "2025-11-12T16:28:40.190196Z",
"updated_at": "2025-12-08T09:27:41.131634Z",
"first_seen": "2023-09-12T13:12:12.533591Z",
"last_seen": "2023-09-12T13:12:12.533591Z",
"zone": "MALICIOUS",
"categories": [
"apt",
"malware"
],
"feeds": [
{
"name": "generic",
"action": "UPDATE",
"valid_until": "2033-09-12T13:12:12.533591Z",
"feeds": [
{
"name": "apt",
"action": "UPDATE",
"valid_until": "2033-09-12T13:12:12.533591Z"
},
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2033-09-12T13:12:12.533591Z",
"feeds": [
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2033-09-12T13:12:12.533591Z"
}
]
}
]
}
],
"related_objects": [
{
"id": "ee50566a-410d-4680-b1ed-9803b0d09c83",
"type": "REPORT",
"value": "Multiple Nation-State Threat Actors Exploit CVE-2022-47966 and CVE-2022-42475"
}
],
"network": {
"heurstics": [
{
"risk_level": "MEDIUM",
"description": "IP адрес относится к подозрительному ASN"
},
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
}
]
}
}
PHISHING
Индикаторы компрометации из публичных источников, которые были замечены в фишинговых рассылках.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/phishing' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "5a56cce4-8e2e-40e4-a733-9677390eadbc",
"type": "DOMAIN",
"value": "test.example.net",
"created_at": "2025-11-12T16:28:38.061516Z",
"updated_at": "2025-12-08T14:31:25.934549Z",
"first_seen": "2025-12-08T13:44:43.124648Z",
"last_seen": "2025-12-08T13:44:43.124723Z",
"zone": "MALICIOUS",
"categories": [
"malware",
"phishing"
],
"feeds": [
{
"name": "4rays_pulse",
"action": "UPDATE",
"valid_until": "2035-12-08T13:44:43.124723Z",
"feeds": [
{
"name": "phishing",
"action": "UPDATE",
"valid_until": "2035-12-08T13:44:43.124723Z"
},
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2035-12-08T13:44:43.124723Z",
"feeds": [
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2035-12-08T13:44:43.124723Z"
}
]
}
]
}
],
"related_objects": [
{
"id": "17ba9628-a55d-4278-9f1a-511bb184aa57",
"type": "REPORT",
"value": "These aren't the apps you're looking for: fake installers targeting Southeast and East Asia"
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
}
]
}
}
INTRUSION
Категория «Intrusion» включает IP-адреса из публичных источников, с которых зафиксированы попытки несанкционированного доступа.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/generic/intrusion' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "5c36f902-e80a-4b49-a091-bd2b8abdcb0c",
"type": "IPV4",
"value": "192.0.2.0",
"created_at": "2025-11-12T16:38:08.285292Z",
"updated_at": "2025-12-08T09:41:49.108659Z",
"first_seen": "2025-07-01T11:18:47.550000Z",
"last_seen": "2025-07-01T11:18:47.550000Z",
"zone": "SUSPICIOUS",
"categories": [
"intrusion",
"malware"
],
"feeds": [
{
"name": "fstec",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z"
},
{
"name": "generic",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z",
"feeds": [
{
"name": "intrusion",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z"
},
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z",
"feeds": [
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z"
}
]
}
]
},
{
"name": "fincert",
"action": "UPDATE",
"valid_until": "2035-07-01T11:18:47.55Z"
}
],
"contexts": [
{
"source_name": "fstec"
}
],
"related_objects": [
{
"id": "abfb73ab-7930-4e81-bf6c-db2d3a7df00b",
"type": "THREAT_ACTOR",
"value": "Obstinate Mogwai"
}
],
"network": {
"heurstics": [
{
"risk_level": "MEDIUM",
"description": "IP адрес относится к подозрительному ASN"
},
{
"risk_level": "MEDIUM",
"description": "Индикатор распространялся в бюллетенях ФинЦЕРТ"
}
]
}
}
CYBERCRIME
Группа IOCs из публичных источников, связанных с киберпреступной деятельностью.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/generic/cybercrime' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "950c6525-4c88-495b-94ac-dad009775e4f",
"type": "SOCKETV4",
"value": "192.0.2.0:28377",
"created_at": "2025-11-12T16:28:40.190196Z",
"updated_at": "2025-12-08T14:42:42.682161Z",
"first_seen": "2023-02-02T10:27:38.009104Z",
"last_seen": "2025-12-08T14:42:13.671521Z",
"zone": "MALICIOUS",
"categories": [
"c2",
"malware"
],
"feeds": [
{
"name": "generic",
"action": "UPDATE",
"valid_until": "2035-12-08T14:42:13.671521Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2035-12-08T14:42:13.671521Z",
"feeds": [
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2035-12-08T14:42:13.671521Z"
},
{
"name": "c2",
"action": "UPDATE",
"valid_until": "2035-12-08T14:42:13.671521Z"
}
]
}
]
}
],
"contexts": [
{
"source_name": "ipapi",
"attributes": {
"country": "United States",
"asn": "20473",
"isp": "The Constant Company LLC",
"is_proxy": "false",
"is_crawler": "false",
"is_tor": "false",
"hosting_facility": "true"
}
},
{
"source_name": "whois"
}
],
"related_objects": [
{
"id": "77821dee-24d3-47b2-a4fe-97bec19bda22",
"type": "REPORT",
"value": "Technical Advisory: Proxy*Hell Exploit Chains in the Wild "
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
},
{
"risk_level": "MEDIUM",
"description": "IP адрес относится к подозрительному ASN"
}
]
}
}
C2
Индикаторы серверов управления из публичных источников.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/generic/cybercrime/c2' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "4fd5e46b-26c8-40bb-929d-872ea95e9541",
"type": "IPV4",
"value": "192.0.2.0",
"created_at": "2025-11-12T16:58:47.451864Z",
"updated_at": "2025-12-08T10:12:42.030612Z",
"first_seen": "2025-11-03T22:30:07.342220Z",
"last_seen": "2025-11-03T22:30:07.342220Z",
"zone": "MALICIOUS",
"categories": [
"c2",
"malware"
],
"feeds": [
{
"name": "generic",
"action": "UPDATE",
"valid_until": "2035-11-03T22:30:07.34222Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2035-11-03T22:30:07.34222Z",
"feeds": [
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2035-11-03T22:30:07.34222Z"
},
{
"name": "c2",
"action": "UPDATE",
"valid_until": "2035-11-03T22:30:07.34222Z"
}
]
}
]
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "MEDIUM",
"description": "IP адрес относится к подозрительному ASN"
}
]
}
}
RANSOMWARE
Индикаторы программ-вымогателей из публичных источников.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/generic/cybercrime/ransomware' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "077bd721-581f-44c8-8bdb-1c9a102d504a",
"type": "IPV4",
"value": "192.0.2.0",
"created_at": "2025-11-12T16:28:38.061516Z",
"updated_at": "2025-12-08T09:27:41.230705Z",
"first_seen": "2023-03-27T10:20:20.764394Z",
"last_seen": "2023-03-27T10:20:20.764394Z",
"zone": "MALICIOUS",
"categories": [
"ransomware",
"malware"
],
"feeds": [
{
"name": "generic",
"action": "UPDATE",
"valid_until": "2033-03-27T10:20:20.764394Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2033-03-27T10:20:20.764394Z",
"feeds": [
{
"name": "ransomware",
"action": "UPDATE",
"valid_until": "2033-03-27T10:20:20.764394Z"
},
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2033-03-27T10:20:20.764394Z"
}
]
}
]
}
],
"related_objects": [
{
"id": "2873e727-e95a-415b-ac01-3479d9f16c22",
"type": "REPORT",
"value": "#StopRansomware: Royal Ransomware"
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
}
]
}
}
STEALER
Индикаторы стиллеров из публичных источников.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/generic/cybercrime/stealer' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "023ea963-b809-484c-aaa7-6267e156da26",
"type": "URL",
"value": "http://192.0.2.0/54982f23330528c2/msvcp140.dll",
"created_at": "2025-11-12T16:28:40.190196Z",
"updated_at": "2025-12-08T09:27:41.122026Z",
"first_seen": "2023-02-21T15:01:07.358118Z",
"last_seen": "2023-02-21T15:01:07.358118Z",
"zone": "MALICIOUS",
"categories": [
"c2",
"malware",
"stealer"
],
"feeds": [
{
"name": "generic",
"action": "UPDATE",
"valid_until": "2033-02-21T15:01:07.358118Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2033-02-21T15:01:07.358118Z",
"feeds": [
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2033-02-21T15:01:07.358118Z"
},
{
"name": "stealer",
"action": "UPDATE",
"valid_until": "2033-02-21T15:01:07.358118Z"
},
{
"name": "c2",
"action": "UPDATE",
"valid_until": "2033-02-21T15:01:07.358118Z"
}
]
}
]
}
],
"related_objects": [
{
"id": "3727c6d0-7f6f-4904-9077-75b5fef1a277",
"type": "REPORT",
"value": "Stealc: a copycat of Vidar and Raccoon infostealers gaining in popularity – Part 1"
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
}
]
}
}
CRYPTOMINING
Индикаторы криптомайнеров из публичных источников.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/generic/cybercrime/cryptomining' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "f16e0a3f-e5d0-40b3-b1f2-1e891c50b314",
"type": "URL",
"value": "http://192.0.2.0/obs.exe",
"created_at": "2025-11-12T16:28:38.041465Z",
"updated_at": "2025-12-08T09:27:46.318510Z",
"first_seen": "2023-01-17T13:48:12.466284Z",
"last_seen": "2023-01-17T13:48:12.466284Z",
"zone": "MALICIOUS",
"categories": [
"cryptomining",
"malware"
],
"feeds": [
{
"name": "generic",
"action": "UPDATE",
"valid_until": "2033-01-17T13:48:12.466284Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2033-01-17T13:48:12.466284Z",
"feeds": [
{
"name": "cryptomining",
"action": "UPDATE",
"valid_until": "2033-01-17T13:48:12.466284Z"
},
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2033-01-17T13:48:12.466284Z"
}
]
}
]
}
],
"related_objects": [
{
"id": "d9347ac0-c71b-434d-8347-8b2148b7f011",
"type": "REPORT",
"value": "이더리움 클래식 코인을 채굴하는 코인 마이너 공격 사례"
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "CRITICAL",
"description": "Индикатор упоминается в TI-отчете"
}
]
}
}
BOTNET
Индикаторы ботнетов из публичных источников.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/generic/cybercrime/botnet' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "0330e119-d09e-4977-8311-93c883f3b7d5",
"type": "DOMAIN",
"value": "test.example.xyz",
"created_at": "2025-11-12T16:40:12.077465Z",
"updated_at": "2025-12-08T09:44:14.693510Z",
"first_seen": "2024-11-06T00:09:30.539657Z",
"last_seen": "2024-11-06T00:09:30.539657Z",
"zone": "MALICIOUS",
"categories": [
"botnet",
"c2",
"malware"
],
"feeds": [
{
"name": "generic",
"action": "UPDATE",
"valid_until": "2034-11-06T00:09:30.539657Z",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"valid_until": "2034-11-06T00:09:30.539657Z",
"feeds": [
{
"name": "c2",
"action": "UPDATE",
"valid_until": "2034-11-06T00:09:30.539657Z"
},
{
"name": "botnet",
"action": "UPDATE",
"valid_until": "2034-11-06T00:09:30.539657Z"
},
{
"name": "malware",
"action": "UPDATE",
"valid_until": "2034-11-06T00:09:30.539657Z"
}
]
}
]
},
{
"name": "fincert",
"action": "UPDATE",
"valid_until": "2034-11-06T00:09:30.539657Z"
}
],
"network": {
"heurstics": [
{
"risk_level": "CRITICAL",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "MEDIUM",
"description": "Индикатор распространялся в бюллетенях ФинЦЕРТ"
},
{
"risk_level": "MEDIUM",
"description": "Домен принадлежит к подозрительной TLD-зоне"
}
]
}
}
MALWARE
Общие индикаторы вредоносного ПО из публичных источников.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/generic/cybercrime/malware' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "927e4c13-ebd3-43ea-81b1-4f3fa0b5d448",
"type": "SHA1",
"value": "da39a3ee5e6b4b0d3255bfef95601890afd80709",
"created_at": "2025-11-12T18:23:13.638839Z",
"updated_at": "2025-12-08T12:32:39.846555Z",
"first_seen": "2025-04-10T00:00:19.378249Z",
"last_seen": "2025-04-10T00:22:44.776076Z",
"zone": "MALICIOUS",
"feeds": [
{
"name": "generic",
"action": "UPDATE",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"feeds": [
{
"name": "malware",
"action": "UPDATE"
}
]
}
]
},
{
"name": "fincert",
"action": "UPDATE"
}
],
"file": {
"verdicts": [
"Win.Backdoor.AsyncRAT.1a"
],
"size": 726016,
"hashes": {
"md5": "d41d8cd98f00b204e9800998ecf8427e",
"sha1": "da39a3ee5e6b4b0d3255bfef95601890afd80709",
"sha256": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
}
}
}
HACKTOOL
Индикаторы хакерских инструментов из публичных источников.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/generic/cybercrime/hacktool' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "20fcdd51-b77e-4581-95b2-5d44ffe36be2",
"type": "SHA256",
"value": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
"created_at": "2025-11-12T17:21:28.158090Z",
"updated_at": "2025-12-08T10:39:24.316200Z",
"first_seen": "2024-08-20T13:05:31.832375Z",
"last_seen": "2024-08-20T13:05:31.832375Z",
"zone": "MALICIOUS",
"feeds": [
{
"name": "generic",
"action": "UPDATE",
"feeds": [
{
"name": "cybercrime",
"action": "UPDATE",
"feeds": [
{
"name": "malware",
"action": "UPDATE"
},
{
"name": "hacktool",
"action": "UPDATE"
}
]
}
]
},
{
"name": "fincert",
"action": "UPDATE"
}
],
"file": {
"hashes": {
"sha256": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
}
}
}
BACKDOOR
Индикаторы бэкдоров из публичных источников.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/generic/cybercrime/backdoor' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
-
FINCERT
Индикаторы компрометации из базы данных ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) — государственной системы, специализирующейся на кибербезопасности в финансовом секторе. Включает данные об угрозах, направленных против банков, платежных систем и других финансовых организаций России.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/fincert' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "ff026268-b8a4-4dfc-a8af-8a36d2a4c9e3",
"type": "SHA256",
"value": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
"created_at": "2025-11-12T17:23:37.193386Z",
"updated_at": "2025-12-11T10:16:02.533676Z",
"first_seen": "2024-05-21T01:43:48.051919Z",
"last_seen": "2025-12-10T21:17:48.832643Z",
"zone": "MALICIOUS",
"feeds": [
{
"name": "fincert",
"action": "UPDATE"
}
],
"file": {
"file_identifiers": [
"d41d8cd98f00b204e9800998ecf8427e"
],
"size": 194048,
"mime": "PE32 executable (GUI) Intel 80386 (stripped to external PDB), for MS Windows, 16 sections",
"hashes": {
"md5": "d41d8cd98f00b204e9800998ecf8427e",
"sha1": "da39a3ee5e6b4b0d3255bfef95601890afd80709",
"sha256": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
}
}
}
FSTEC
Индикаторы компрометации из базы данных ФСТЭК России (Федеральная служба по техническому и экспортному контролю) — федерального органа исполнительной власти, отвечающего за информационную безопасность и защиту критической информационной инфраструктуры страны.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/fstec' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "cb39fb5f-f2c6-4ba5-91c5-85753eb3ffd3",
"type": "DOMAIN",
"value": "test.example.xyz",
"created_at": "2025-12-03T09:37:16.450807Z",
"updated_at": "2025-12-11T09:41:14.570322Z",
"first_seen": "2025-10-22T09:31:41.000000Z",
"last_seen": "2025-12-10T13:59:23.971442Z",
"zone": "SUSPICIOUS",
"feeds": [
{
"name": "fstec",
"action": "UPDATE",
"valid_until": "2035-12-10T13:59:23.971442Z"
}
],
"contexts": [
{
"source_name": "ipapi",
"attributes": {
"asn": "8075",
"isp": "Microsoft Corporation",
"is_proxy": "false",
"is_crawler": "false",
"is_tor": "false",
"hosting_facility": "true",
"country": "United States"
}
},
{
"source_name": "fstec"
},
{
"source_name": "whois",
"attributes": {
"expiration": "2027-06-08T23:59:59.000",
"creation": "2025-06-08T15:14:44.000",
"nameservers": "example-test-domain.com",
"registrar": "EXAMPLE-REGISTRAR-RU"
}
}
],
"network": {
"heurstics": [
{
"risk_level": "MEDIUM",
"description": "Домен принадлежит к подозрительной TLD-зоне"
}
]
}
}
NETWORK_ANONYMITY
Группа IOCs, используемых для анонимизации и обхода ограничений. Содержит фиды для обнаружения сервисов анонимизации.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/network_anonymity' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "ff50ba95-4bc6-4c73-ab99-59a8eea11b12",
"type": "SOCKETV4",
"value": "192.0.2.0:999",
"created_at": "2025-12-10T11:35:56.341388Z",
"updated_at": "2025-12-11T09:45:34.049040Z",
"first_seen": "2025-12-10T11:30:05.761675Z",
"last_seen": "2025-12-10T11:56:25.867824Z",
"zone": "UNKNOWN",
"categories": [
"vpn"
],
"feeds": [
{
"name": "network_anonymity",
"action": "UPDATE",
"valid_until": "2035-12-10T11:56:25.867824Z",
"feeds": [
{
"name": "vpn",
"action": "UPDATE",
"valid_until": "2035-12-10T11:56:25.867824Z"
}
]
}
],
"contexts": [
{
"source_name": "ipapi",
"attributes": {
"is_crawler": "false",
"is_tor": "false",
"hosting_facility": "false",
"country": "Argentina",
"asn": "52361",
"isp": "Arsat - Empresa Argentina De Soluciones Satelitales s.A.",
"is_proxy": "false"
}
},
{
"source_name": "whois"
}
]
}
VPN
Адреса выходных серверов различных VPN сервисов, которые злоумышленники могут использовать в своих атаках.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/network_anonymity/vpn' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "fcf7f976-de3b-455f-8d23-8015904d0afa",
"type": "SOCKETV4",
"value": "192.0.2.0:28377",
"created_at": "2025-12-10T11:40:26.159179Z",
"updated_at": "2025-12-11T09:45:34.038775Z",
"first_seen": "2025-12-10T11:30:05.761675Z",
"last_seen": "2025-12-10T12:01:30.298029Z",
"zone": "SUSPICIOUS",
"categories": [
"vpn"
],
"feeds": [
{
"name": "network_anonymity",
"action": "UPDATE",
"valid_until": "2035-12-10T12:01:30.298029Z",
"feeds": [
{
"name": "vpn",
"action": "UPDATE",
"valid_until": "2035-12-10T12:01:30.298029Z"
}
]
}
],
"contexts": [
{
"source_name": "ipapi",
"attributes": {
"asn": "36666",
"isp": "Globotech Communications",
"is_proxy": "false",
"is_crawler": "false",
"is_tor": "false",
"hosting_facility": "true",
"country": "Canada"
}
},
{
"source_name": "whois"
}
],
"network": {
"heurstics": [
{
"risk_level": "MEDIUM",
"description": "IP адрес относится к подозрительному ASN"
}
]
}
}
TOR
Адреса выходных серверов сети Tor, которые часто используют злоумышленники в своих атаках.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/network_anonymity/tor' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "fee67227-7249-4b23-95c2-96b1ac4766e3",
"type": "IPV4",
"value": "192.0.2.0",
"created_at": "2025-12-05T11:05:17.292000Z",
"updated_at": "2025-12-11T09:41:54.506522Z",
"first_seen": "2025-12-05T11:00:45.331584Z",
"last_seen": "2025-12-05T11:08:06.891919Z",
"zone": "SUSPICIOUS",
"categories": [
"tor"
],
"feeds": [
{
"name": "network_anonymity",
"action": "UPDATE",
"valid_until": "2035-12-05T11:08:06.891919Z",
"feeds": [
{
"name": "tor",
"action": "UPDATE",
"valid_until": "2035-12-05T11:08:06.891919Z"
}
]
}
],
"contexts": [
{
"source_name": "whois"
},
{
"source_name": "ipapi",
"attributes": {
"is_proxy": "false",
"is_crawler": "false",
"is_tor": "false",
"hosting_facility": "true",
"country": "Australia",
"asn": "63949",
"isp": "Akamai Connected Cloud"
}
}
],
"network": {
"heurstics": [
{
"risk_level": "MEDIUM",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
},
{
"risk_level": "MEDIUM",
"description": "IP адрес относится к подозрительному ASN"
}
]
}
}
PROXY
Адреса выходных серверов различных прокси-сервисов, которые злоумышленники могут использовать в своих атаках.
Запрос:
curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/network_anonymity/proxy' \
--header 'Authorization: Bearer {JWT_TOKEN}'
Пример ответа:
{
"id": "b8621019-8d5c-4416-8c0d-de6bf9e329d1",
"type": "IPV4",
"value": "192.0.2.0",
"created_at": "2025-12-10T11:37:52.137407Z",
"updated_at": "2025-12-11T09:44:24.482523Z",
"first_seen": "2025-12-10T11:30:09.828367Z",
"last_seen": "2025-12-10T12:42:05.321519Z",
"zone": "SUSPICIOUS",
"categories": [
"proxy"
],
"feeds": [
{
"name": "network_anonymity",
"action": "UPDATE",
"valid_until": "2035-12-10T12:42:05.321519Z",
"feeds": [
{
"name": "proxy",
"action": "UPDATE",
"valid_until": "2035-12-10T12:42:05.321519Z"
},
{
"name": "vpn",
"action": "DELETE",
"valid_until": "2035-12-10T12:42:05.321519Z"
}
]
}
],
"contexts": [
{
"source_name": "ipapi",
"attributes": {
"isp": "Computer Research Center of Islamic Sciences",
"is_proxy": "false",
"is_crawler": "false",
"is_tor": "false",
"hosting_facility": "false",
"country": "Iran",
"asn": "206596"
}
},
{
"source_name": "whois"
}
],
"network": {
"heurstics": [
{
"risk_level": "MEDIUM",
"description": "У индикатора обнаружены признаки вредоносной активности, соответствующей его категории"
}
]
}
}