kosijustice/Threat-Actor-Investigation-Profiling-Sea-Turtle-APT-

# 威胁行为者调查与画像 — Sea Turtle APT 一项针对 Sea Turtle APT 组织的真实网络威胁情报调查，使用 MISP、MITRE ATT&CK、VirusTotal 和 AbuseIPDB 进行。内容包括 IOC 关联、TTP 映射、基础设施分析和防御建议。** 🐢 威胁行为者调查与画像 — Sea Turtle (APT) ## 📌 目录 - [调查背景](#-investigation-context) - [执行摘要](#-executive-summary) - [MISP 调查方法论](#-misp-investigation-methodology) - [基础设施分析](#-infrastructure-analysis) - [来自 MISP 的 IOC 分析](#-ioc-analysis-from-misp) - [OSINT 关联](#-osint-correlation) - [MITRE ATT&CK TTP 映射](#️-mitre-attck-ttp-mapping) - [MISP 关联分析](#-misp-correlation-analysis) - [威胁行为者画像](#-threat-actor-profile--sea-turtle) - [关键 IOCs 摘要](#-key-iocs-summary) - [检测指标](#-detection-indicators) - [执行风险评估](#-executive-risk-summary) - [缓解建议](#️-mitigation-recommendations) - [使用的工具与平台](#️-tools--platforms-used) - [作者](#-author) ## 🔭 调查背景 | 字段 | 详情 | |-------|---------| | **调查目标** | Sea Turtle — 国家支持的 APT 组织 | | **平台** | MISP 威胁共享平台 | | **MISP 事件 ID** | 1869 | | **MISP UUID** | `4b79f6b1-f69c-483b-9d24-6e20039f5e96` | | **源事件** | 187 (CUDESO, 2019-07-09) | | **合并的 IOCs** | 15 个已验证的失陷指标 | | **映射的 TTPs** | 9 个 MITRE ATT&CK 技术 | | **分类** | 战略与运营威胁情报 | | **分析师** | Justice C. Alucho — 网络安全 SOC 分析师 | | **背景** | 授权网络安全研究实验室 | ### 背景 近期检测到针对欧洲关键基础设施和政府机构的恶意活动激增。目前的情报指出五个主要威胁组织是可疑的发起者。本次调查使用来自 MISP 平台的真实情报，深入分析了这五个组织之一：**Sea Turtle**。 **调查目标：** 1. **基础设施映射** — 识别命令与控制 (C2) 及交付系统 2. **技术分析** — 评估失陷指标 以确定行为者的 TTP 3. **风险缓解** — 构建全面的威胁画像，提供可操作的防御策略 ## 📋 执行摘要 本次调查确认了与 Sea Turtle 威胁行为者相关的**高可信度战略网络威胁**的存在，该结论是通过使用 MISP 威胁情报源和 OSINT 平台进行真实情报关联得出的。 与出于经济动机的网络犯罪组织不同，Sea Turtle 的运作具有**战略意图**，目标是政府、军事、电信和关键基础设施部门。其主要技术 —— **DNS 劫持结合中间人 操作** —— 使他们能够在不触发传统终端安全控制的情况下，静默拦截通信、窃取凭据并操纵网络流量。 ### 战略风险概述 MISP 关联确认此活动**并非孤立事件**。该行为者表现出： - ♻️ 持续的操作行为和基础设施重用 - 📅 跨多个情报事件的长期攻击活动连续性 - 🖧 专用的 C2 节点、恶意 DNS 基础设施和 MITM 节点 - 🔇 低噪音、高影响的运作模式 ### 确认的威胁结果 | 风险 | 影响 | |------|--------| | 长期数据拦截 | ⚠️ 严重 | | 情报泄露 | ⚠️ 严重 | | 凭据泄露 | ⚠️ 严重 | | 网络信任侵蚀 | 🔴 高 | | 监管与合规风险暴露 | 🔴 高 | | 国家与组织安全风险 | ⚠️ 严重 | ## 🔬 MISP 调查方法论 ### 步骤 1 — MISP 情报搜索 在 MISP 平台内利用以下资源执行了全面查询： - **Talos Intelligence** — 根据 Cisco 的威胁情报源验证 IOC - **MITRE ATT&CK 框架** — 将行为映射到已知的对手技术 - **MISP Galaxy** — 识别相关的集群和归因模式 ### 步骤 2 — 创建 APT 画像 在 MISP 中创建了专门的APT画像： ``` Event: 1869 Profile Name: APT Profile – Sea Turtle DNS Hijacking Campaign Purpose: Consolidate indicators, behavioral patterns, and contextual intelligence ``` ### 步骤 3 — 应用威胁行为者分类法 ``` Taxonomy: misp-galaxy:threat-actor Actor: Sea Turtle Cluster ID: 81836 Purpose: Establish attribution consistency and structured intelligence mapping ``` ### 步骤 4 — 指标关联与 IOC 合并 使用 MISP 的合并功能，将源事件 187 中的 **15 个已验证的 IOC** 合并到事件 1869 中： - ✅ 整合已验证的情报 - ✅ 消除重复条目 - ✅ 集中化事件管理 ### 步骤 5 — TTP 文档化 使用 MISP Galaxy 关系，映射并记录了与 Sea Turtle 行动相关的 **9 种 MITRE ATT&CK 战术、技术和程序 (TTP)**。 ### 步骤 6 — 撰写情报报告 在 MISP 事件报告模块中生成了结构化的情报报告： - 分析师发现 - 技术评估 - 归因理由 - 支持性证据和关联分析 ### 步骤 7 — 发布与导出 发布了最终定稿的情报事件，并导出为 **STIX 2 格式**，用于： - 信息共享 - 跨组织协作 - 威胁情报分发 ## 🌐 基础设施分析 ### Sea Turtle 使用的基础设施类型 ``` ┌─────────────────────────────────────────────────────────────────────┐ │ SEA TURTLE INFRASTRUCTURE MAP │ ├──────────────────────┬──────────────────┬───────────────────────────┤ │ Infrastructure Type │ Assessment │ Role │ ├──────────────────────┼──────────────────┼───────────────────────────┤ │ C2 Servers │ ✅ Confirmed │ Remote control & coord. │ │ DNS Hijacking Nodes │ ✅ Confirmed │ Core attack vector │ │ Rogue Nameservers │ ✅ Confirmed │ DNS manipulation │ │ MITM Infrastructure │ ✅ Confirmed │ Session interception │ │ Exploit Infra. │ ✅ Confirmed │ Public app exploitation │ │ Phishing Infra. │ ⚠️ Limited │ Secondary credential ops │ │ Cloud Abuse │ 🔵 Possible │ Staging / proxying │ └──────────────────────┴──────────────────┴───────────────────────────┘ ``` ### 命令与控制 (C2) 基础设施 **目的：** 恶意软件控制、会话管理、数据窃取、远程访问持久化 ``` Operational Nodes (C2 Servers): ├── 185.64.105.100 → Primary C2 node └── 178.17.167.51 → Primary C2 node ``` ### DNS 与网络操纵基础设施 **主要技术：** DNS 劫持 ``` Actor-Controlled DNS Infrastructure: ├── Compromised DNS registrars ├── Rogue name servers ├── MITM routing nodes └── ns1.rootdnsservers.com → Actor-controlled nameserver MITM Nodes: ├── 95.179.131.225 ├── 140.82.58.253 ├── 45.32.100.62 └── 193.46.255.33 ``` **目的：** 凭据拦截、会话劫持、流量重定向、AiTM 攻击、凭据窃取 ## 🔍 来自 MISP 的 IOC 分析 ### MISP 属性 — 证据截图 **📸 截图 1 — MISP 事件 1887 概览及 Sea Turtle 威胁行为者画像** **📸 截图 2 — MISP 属性表 — 完整 IOC 列表** ### IOC 摘要表 | IOC 类型 | 值 | 类别 | 分类 | |----------|-------|----------|----------------| | `ip-dst` | `185.64.105.100` | 网络活动 | 操作节点 (C2) | | `ip-dst` | `178.17.167.51` | 网络活动 | 操作节点 (C2) | | `ip-dst` | `95.179.131.225` | 网络活动 | MITM 节点 | | `ip-dst` | `140.82.58.253` | 网络活动 | MITM 节点 | | `ip-dst` | `95.179.156.61` | 网络活动 | MITM 节点 | | `ip-dst` | `196.29.167.100` | 网络活动 | MITM 节点 | | `ip-dst` | `188.226.192.35` | 网络活动 | MITM 节点 | | `ip-dst` | `45.32.100.62` | 网络活动 | 托管恶意内容 | | `ip-dst` | `193.46.255.33` | 网络活动 | MITM 节点 | | `hostname` | `ns1.rootdnsservers.com` | 网络活动 | 行为者控制的域名服务器 | | `hostname` | `ns2.rootdnsservers.com` | 网络活动 | 行为者控制的域名服务器 | | `link` | Talos Intelligence 报告 | 外部分析 | 从事件 190 合并 | | `link` | MITRE ATT&CK 参考 | 外部分析 | 从事件 190 合并 | ## 🌍 OSINT 关联 ### VirusTotal 分析 **📸 截图 3 — VirusTotal 检测结果：45.32.100.62** ``` IP: 45.32.100.62 (45.32.0.0/16) ASN: AS20473 (The Constant Company, LLC) Flag: 1/93 vendors — SOCRadar: Malware Location: SG (Singapore) Analyst Note: Corroborates MISP classification as malicious hosted infrastructure ``` ### AbuseIPDB 分析 **📸 截图 4 — AbuseIPDB：193.46.255.33** ``` IP: 193.46.255.33 Abuse Score: 100% (Maximum confidence) Report Count: 271,026 reports ISP: UNMANAGED LTD ASN: AS47890 Type: Data Center / Web Hosting / Transit Analyst Note: 100% confidence score confirms active malicious use — highest severity rating ``` ## ⚔️ MITRE ATT&CK TTP 映射 ### 视觉参考 **📸 截图 5 — MITRE ATT&CK T1557 (中间人攻击)** **📸 截图 6 — MITRE ATT&CK T1584 (攻破基础设施)** ### 完整 TTP 表 | ID | 技术 | Sea Turtle 的实施方式 | 阶段 | |----|-----------|--------------------------|-------| | **T1583** | 获取基础设施 | 购买域名并租用 VPS 实例，以托管影子域名服务器和 C2 节点 | 准备阶段 | | **T1584** | 攻破基础设施 | 攻破第三方 DNS 服务器和合法的 Web 托管服务，以托管恶意工具 | 准备阶段 | | **T1566** | 网络钓鱼 | 对 DNS 注册商和电信公司的员工进行鱼叉式网络钓鱼，以窃取管理员凭据 | 初始访问 | | **T1557** | 中间人 | 在注册商级别修改 DNS 记录，以定位为 MITM 并拦截凭据 | 核心策略 | | **T1588.004** | 获取能力：数字证书 | 获取目标域名的 CA 签名 X.509 证书，以促进 AiTM 攻击 | 资源开发 | | **T1046** | 网络服务发现 | 在受损环境（例如 cPanel）中使用扫描工具识别内部服务 | 侦察 | | **T1114.001** | 电子邮件收集：本地 | 从受害环境（cPanel 账户）收集电子邮件存档以进行情报收集 | 收集 | | **T1560.001** | 归档收集的数据：通过实用程序 | 使用 `tar` 将电子邮件和敏感文件打包成归档文件，然后进行外发 | 数据窃取 | | **T1070.002** | 指标移除：清除 Linux/Mac 日志 | 覆盖 Linux 系统日志并取消设置 Bash 历史记录，以清除利用后的痕迹 | 防御规避 | | **T1071** | 应用层协议 | 自定义恶意软件 使用 HTTP/S 进行 C2 通信，以混入合法流量 | C2 | ### 🧠 分析师备注：Sea Turtle 杀伤链 ``` Sea Turtle doesn't hack a website — they hack the entire PATH to that website. Step 1: PREPARATION (T1583 / T1584) └── Set up or compromise infrastructure (nameservers, VPS, domains) Step 2: ACCESS (T1566 / T1199) └── Spear-phish a DNS registrar employee or exploit a trusted relationship Step 3: THE PIVOT (T1557) └── Modify DNS records to redirect ALL traffic through actor-controlled node → Every login, every credential, every session is now intercepted Step 4: THE PAYOFF (T1114.001 / T1071) └── Harvest credentials, collect email archives, exfiltrate intelligence → Victim never knows their traffic was silently rerouted ``` ## 🔗 MISP 关联分析 ### 识别到的相关事件 ``` Event Title: "Sea Turtle keeps on swimming, finds new victims, DNS hijacking techniques" Date: 2019-07-09 Correlated IOC Count: 15 ``` ### 此关联的意义 | 关联信号 | 情报解读 | |-------------------|----------------------------| | 跨事件共享的 IOC | 相同的基础设施在多次攻击活动中被重用 | | 攻击活动连续性 | 跨越多年时间线的持续活跃行动 | | 基础设施重用 | 刻意的操作一致性 —— 而非随机行为 | | 反复针对性攻击 | 对特定行业和地理位置的系统性关注 | | 持续的行动 | 持续存在的威胁 —— 并非一次性的攻击活动 | ## 🎯 威胁者画像 — Sea Turtle ### 身份与归因 | 字段 | 值 | |-------|-------| | **主要名称** | Sea Turtle | | **已知别名** | Teal Kurma, Silicon, Cosmic Wolf | | **疑似来源** | 土耳其 | | **归因类型** | 国家支持 / 国家资助 | | **行动导向** | 土耳其国家战略利益 | | **集群 ID (MISP)** | 81836 | | **威胁级别** | 🔴 高 | ### 动机评估 | 类别 | 评估 | 分析师评价 | |----------|------------|-------------------| | **间谍活动** | ✅ 已确认 — 主要 | 核心行动目标集中于情报收集和战略数据获取 | | **情报收集** | ✅ 已确认 | 存在凭据窃取、网络拦截和监视活动的直接证据 | | **经济利益** | ❌ 未观察到 | 该行为者未表现出勒索软件或出于经济动机的行为 | | **破坏活动** | ❌ 非主要 | 对基础设施的攻击侧重于获取访问权限 —— 而非破坏 | **主要动机：网络间谍与情报收集** ### 目标画像 **目标行业：** ``` ├── 🏛️ Government agencies ├── ⚔️ Military organizations ├── 🕵️ Intelligence agencies ├── 🤝 Diplomatic organizations ├── 📡 Telecom providers └── 🏗️ National critical infrastructure ``` **地理位置重点：** ``` Primary Regions: ├── Middle East (MENA) ├── North Africa └── Eastern Mediterranean Countries Targeted: ├── Turkey ├── Greece ├── Cyprus ├── Iraq ├── Syria └── Egypt ``` ### 工具、恶意软件与能力 | 类别 | 示例 | |----------|---------| | **自定义恶意软件** | SnappyTCP (HTTP/S C2 通信) | | **DNS 工具包** | 自定义 DNS 操纵框架 | | **网络工具** | 流量重定向框架，网络嗅探工具 | | **MITM 系统** | 基于代理的攻击框架 | | **凭据工具** | 凭据窃取平台 | | **持久化** | 基础设施持久化脚本 | ## 📊 关键 IOCs 摘要 ### 操作基础设施 ``` C2 Nodes (Command & Control): ├── 185.64.105.100 └── 178.17.167.51 MITM Nodes (Adversary-in-the-Middle): ├── 95.179.131.225 ├── 45.32.100.62 ← VirusTotal: Malware (1/93) ├── 140.82.58.253 ├── 193.46.255.33 ← AbuseIPDB: 100% abuse confidence, 271,026 reports └── 95.179.156.61 DNS Infrastructure: ├── ns1.rootdnsservers.com ← Actor-controlled nameserver └── ns2.rootdnsservers.com ← Actor-controlled nameserver ``` ### IOC 严重性评估 | IOC | 类型 | 严重性 | 验证方 | |-----|------|----------|-------------| | `193.46.255.33` | MITM 节点 | 🔴 严重 | AbuseIPDB：100% 置信度 | | `45.32.100.62` | 托管恶意内容 | 🔴 高 | VirusTotal：SOCRadar 恶意软件 | | `ns1.rootdnsservers.com` | 流氓域名服务器 | 🔴 严重 | MISP + OSINT | | `185.64.105.100` | C2 服务器 | 🔴 严重 | MISP 关联 | | `178.17.167.51` | C2 服务器 | 🔴 严重 | MISP 关联 | | `95.179.131.225` | MITM 节点 | 🟠 高 | MISP 关联 | ## 🚨 检测指标 ### 网络级检测信号 ``` DNS Indicators: ├── Unauthorized DNS resolver changes ├── Rogue name server entries appearing in DNS delegation ├── Unexpected DNS propagation changes ├── Abnormal DNS TTL values (unusually low = fast redirect capability) └── DNS registrar modification logs showing unauthorized access Traffic Indicators: ├── TLS certificate mismatches (wrong CA or provider for domain) ├── Traffic redirection anomalies (unexpected routing paths) ├── MITM behavior patterns in network flow analysis ├── Unexpected IP routing paths for known-good domains └── Traffic flows through untrusted or unrecognized nodes ``` ### 安全运营信号 ``` Certificate Anomalies: ├── Certificate chain irregularities ├── CA-signed certificates from unexpected providers └── Domain certificates issued by non-standard authorities Authentication Signals: ├── Sudden domain resolution changes (pre vs. post DNS query) ├── Credential reuse from unexpected sources/locations └── Authentication from IPs not in baseline activity ``` ### SIEM 检测查询 (示例) ``` # 检测到已知 IOC IP 的 DNS 解析 index=dns_logs dest_ip IN ("185.64.105.100","178.17.167.51","95.179.131.225","140.82.58.253","193.46.255.33","45.32.100.62") | table _time, src_ip, dest_ip, query, record_type # 检测到受攻击者控制的 nameserver 的查询 index=dns_logs query IN ("rootdnsservers.com","ns1.rootdnsservers.com","ns2.rootdnsservers.com") | table _time, src_ip, query, answer # 检测 TLS certificate 异常 index=tls_logs | eval cert_mismatch=if(issuer_org!=expected_org,"YES","NO") | where cert_mismatch="YES" | table _time, src_ip, dest_domain, issuer_org, expected_org ``` ## ⚠️ 执行风险评估 Sea Turtle 代表了一种**高级战略网络威胁**，其特征包括： ``` THREAT CHARACTERISTICS: ├── 🕐 Long-term persistence (multi-year campaigns) ├── 🏛️ State-aligned operations ├── 🌐 Infrastructure-layer manipulation ├── 🎯 Intelligence-focused targeting └── 🔇 Low-noise, high-impact operations BUSINESS & NATIONAL RISK: ├── 📁 Data sovereignty compromise ├── 🔒 National security exposure ├── 🤝 Diplomatic data interception ├── 📋 Regulatory compliance violations ├── 🕵️ Long-term espionage exposure └── 🔗 Supply-chain trust erosion ``` ## 🛡️ 缓解建议 ### 建议 1 — DNS 与基础设施强化 (战略层面) **实施 DNS 安全治理：** ``` DNSSEC: ├── Enable DNSSEC signing on all organizational zones ├── Validate DNSSEC on all outbound DNS resolvers └── Monitor for DNSSEC validation failures Registrar Security: ├── Enable MFA on ALL DNS registrar accounts ├── Activate Registry Lock services for critical domains ├── Restrict registrar account access to named administrators only └── Enable out-of-band change notifications for DNS modifications DNS Monitoring: ├── Deploy continuous DNS telemetry monitoring ├── Alert on any name server changes ├── Monitor DNS TTL anomalies └── Validate name server integrity against known-good baseline ``` **预期影响：** 在根源上防止 DNS 劫持、MITM 攻击和基础设施被攻破。 ### 建议 2 — 网络检测与情报集成 (操作层面) **部署情报驱动的检测工程：** ``` # Suricata IDS Rule — 检测到 Sea Turtle C2 节点的连接 alert ip any any -> [185.64.105.100,178.17.167.51] any \ (msg:"Sea Turtle C2 Node Contact Detected"; \ classtype:trojan-activity; sid:9000001; rev:1;) # Suricata IDS Rule — 检测 MITM 节点通信 alert ip any any -> [95.179.131.225,140.82.58.253,193.46.255.33,45.32.100.62] any \ (msg:"Sea Turtle MITM Node Contact Detected"; \ classtype:network-scan; sid:9000002; rev:1;) # Suricata IDS Rule — 检测恶意 nameserver 查询 alert dns any any -> any 53 \ (msg:"Sea Turtle Rogue Nameserver Query"; \ dns.query; content:"rootdnsservers.com"; \ classtype:policy-violation; sid:9000003; rev:1;) ``` **MISP → SIEM → IDS 集成管道：** ``` MISP (IOC Source) ↓ (STIX 2 export / API feed) SIEM (Splunk / QRadar / Wazuh) ↓ (Automated IOC ingestion) IDS / Firewall (Suricata / Snort / pfSense) ↓ (Real-time blocking rules) SOC Alert Queue ↓ (Analyst investigation) Incident Response ``` **预期影响：** 将威胁情报转化为实时检测和主动防御。 ### 优先行动矩阵 | 优先级 | 行动 | 工具 | 时间线 | |----------|--------|------|----------| | 🔴 紧急 | 在边界防火墙阻断所有 IOC IP | 防火墙 / ACL | 24 小时内 | | 🔴 紧急 | 在 DNS 注册商账户启用 MFA | 注册商门户网站 | 24 小时内 | | 🟠 高 | 在关键域名部署 DNSSEC | DNS 服务器 | 7 天内 | | 🟠 高 | 将 Sea Turtle 的 IOC 导入 SIEM | MISP → Splunk | 7 天内 | | 🟡 中 | 配置 Suricata 规则以检测 IOC | Suricata IDS | 30 天内 | | 🟡 中 | 实施证书透明度监控 | TLS 监控 | 30 天内 | | 🟢 持续 | 订阅 MISP 威胁情报源 | MISP 平台 | 持续进行 | | 🟢 持续 | DNS 遥测监控 | SOC 工作流 | 持续进行 | ## 🏁 执行结论 Sea Turtle 并非传统的网络犯罪组织 —— 它是一个**战略网络间谍行为者**，使用基础设施级别的攻击而非依赖大量恶意软件的操作。他们专注于 DNS 劫持和 MITM 定位，使其能够**大规模静默拦截数据**，导致检测困难且影响严重。 ``` KEY INTELLIGENCE TAKEAWAYS: ✅ Sea Turtle is state-aligned — Turkish national strategic interests drive targeting decisions ✅ DNS hijacking is their core TTPs — not malware, not ransomware ✅ MISP correlation confirms multi-year campaign continuity and infrastructure reuse ✅ OSINT validation (VirusTotal + AbuseIPDB) corroborates MISP IOC classifications ✅ 9 MITRE ATT&CK techniques mapped — providing structured adversary profiling ✅ Endpoint security alone is insufficient — network and DNS layers must be defended ⚠️ Organizations without DNS monitoring and threat intelligence integration remain exposed ``` **最终领导层寄语：** ## 🗂️ 仓库结构 ``` sea-turtle-threat-investigation/ │ ├── README.md ← This file — full investigation report │ ├── iocs/ │ ├── ip_indicators.txt ← All IP-based IOCs (C2, MITM nodes) │ ├── domain_indicators.txt ← DNS/hostname IOCs │ └── stix2_export.json ← STIX 2 formatted IOC export from MISP │ ├── misp/ │ ├── event_1869_profile.md ← Sea Turtle APT profile created in MISP │ └── misp_methodology.md ← Step-by-step MISP investigation workflow │ ├── ttps/ │ └── mitre_attack_mapping.md ← Full MITRE ATT&CK TTP mapping table │ ├── screenshots/ │ ├── 01_misp_event_overview.png ← MISP Event 1887 — Sea Turtle profile │ ├── 02_misp_attributes_table.png ← Full IOC attribute list in MISP │ ├── 03_virustotal_45.32.100.62.png ← VirusTotal detection result │ ├── 04_abuseipdb_193.46.255.33.png ← AbuseIPDB 100% abuse confidence │ ├── 05_mitre_t1557.png ← MITRE ATT&CK T1557 AiTM reference │ └── 06_mitre_t1584.png ← MITRE ATT&CK T1584 Infra Compromise │ ├── detections/ │ ├── suricata_rules.rules ← Suricata IDS detection rules for Sea Turtle IOCs │ └── splunk_queries.txt ← SIEM detection queries │ └── reports/ └── Sea_Turtle_Full_Report.pdf ← Complete investigation report (PDF) ``` ## 🧰 使用的工具与平台 | 工具 | 用途 | |------|---------| | **MISP** | 威胁情报平台 — IOC 管理、关联分析、事件画像 | | **MITRE ATT&CK** | TTP 映射和对手行为框架 | | **VirusTotal** | 恶意 IP 和基础设施的 OSINT 验证 | | **AbuseIPDB** | IP 信誉和滥用置信度评分 | | **Talos Intelligence** | Cisco 的威胁情报源，用于指标验证 | | **STIX 2** | 结构化威胁信息表达式 — IOC 导出格式 | ## 📚 参考 - [MITRE ATT&CK — Sea Turtle](https://attack.mitre.org/groups/G0079/) - [Talos Intelligence — Sea Turtle 攻击活动](https://blog.talosintelligence.com/sea-turtle-keeps-on-swimming/) - [CUDESO MISP 事件 187 — 2019-07-09](https://www.misp-project.org/) - [MITRE T1557 — 中间人攻击](https://attack.mitre.org/techniques/T1557/) - [MITRE T1584 — 攻破基础设施](https://attack.mitre.org/techniques/T1584/) - [AbuseIPDB](https://www.abuseipdb.com/) - [VirusTotal](https://www.virustotal.com/) ## 👤 作者 ## 📄 许可证 本项目基于 MIT 许可证授权 —— 用于研究和教育目的。 查看下方完整报告 [威胁行为者调查报告](https://github.com/kosijustice/Threat-Actor-Investigation-Profiling-Sea-Turtle-APT-/blob/main/Threat%20Actor%20Investigation%20and%20Profiling%20MAIN%20DOC%20Google%20Docs.pdf)

标签：AbuseIPDB, APT分析, APT组织画像, Ask搜索, CISA项目, Cloudflare, ESC4, GitHub, IOC关联, IP 地址批量处理, Metaprompt, MITRE ATT&CK, OSINT, Sea Turtle APT, TTP映射, VirusTotal, 国家背景攻击, 基础设施分析, 失陷标示, 威胁情报, 密码管理, 开发者工具, 插件系统, 攻击溯源, 无线安全, 海龟APT, 网络信息收集, 网络威胁调查, 网络安全, 防御建议, 隐私保护