uzx-02/threat-intelligence
GitHub: uzx-02/threat-intelligence
一个公开的威胁情报研究报告仓库,聚焦钓鱼即服务生态和社会工程学活动的结构化分析,提供兼容主流 CTI 平台的标准化 IOC 数据。
Stars: 0 | Forks: 0
# 威胁情报报告
**分析师:** Mohammed Uzair Shaikh
**分类:** UNCLASSIFIED // TLP:WHITE — 本仓库中的所有报告均根据[交通灯协议](https://www.first.org/tlp/)获准进行不受限制的公开发布。
独立的 CTI 研究作为动手安全实践的一部分,涵盖钓鱼基础设施、PhaaS 生态系统和社会工程学活动。每份报告遵循结构化的分析方法,结合了 MITRE ATT&CK 框架、扩展钻石模型、兼容 STIX 2.1 的 IOC,以及 FIRST WEP/LCA 置信度评级。
## 报告索引
| 报告 ID | 威胁行为者 / 工具包 | 威胁类型 | 日期 | 状态 |
| ----------------------------------------------------------- | ---------------------------------------- | --------------------------------------- | ---------- | ------ |
| [CTI-2026-IG-001](./reports/CTI-2026-IG-001-WIXXI-TOOLS.md) | WIXXI TOOLS / SHARPLOGS (Alexander Paul) | PhaaS — Instagram 凭证窃取 | 2026-02-07 | CLOSED |
## 仓库结构
```
threat-intelligence/
│
├── README.md ← This file — report index
│
├── reports/ ← Full investigation reports (Markdown)
│ └── CTI-2026-IG-001-WIXXI-TOOLS.md
│
├── iocs/ ← Machine-readable IOC exports (CSV)
│ ├── README.md ← IOC usage and ingestion guide
│ └── CTI-2026-IG-001-iocs.csv
│
└── templates/
└── report-template.md ← Standardised report template
```
## 方法论
所有调查均遵循一致的分析框架:
| 框架 | 应用 |
| -------------------- | --------------------------------------------------------------------------------- |
| **MITRE ATT&CK v19** | 跨整个杀伤链的战术和技术映射 |
| **扩展钻石模型** | 对手–能力–基础设施–受害者关系建模 |
| **STIX 2.1** | 用于平台摄取的机器可读 IOC 格式 |
| **FIRST WEP/LCA** | 针对所有归因声明的来源可靠性和信息可信度评级 |
| **TLP:WHITE** | 所有公开报告均已获准不受限制地分发 |
## IOC 接入
机器可读的 IOC 导出文件位于 `/iocs/` 目录下,为兼容以下平台的 CSV 文件:
- [AlienVault OTX](https://otx.alienvault.com)
- [MISP](https://www.misp-project.org)
- [OpenCTI](https://www.opencti.io)
有关接入说明,请参阅 [`iocs/README.md`](./iocs/README.md)。
## 约定
- 所有网络指标均已**消除威胁(Defanged)** — 括号取代了域名中的 `.` 和 URL 中的 `://`
- 所有受害者个人身份信息均已使用标识符(`[VICTIM-ALPHA]`、`[VICTIM-BRAVO]` 等)进行**脱敏**处理
- 报告 ID 遵循以下格式:`CTI-[YEAR]-[PLATFORM/CATEGORY]-[SEQUENCE]`
- 所有归因声明均带有 **FIRST WEP/LCA** 评级
## 免责声明
本仓库中记录的所有调查均是在公开可访问或已被入侵的基础设施上进行的。未执行任何未经授权的访问。所有受害者数据均已脱敏。发布 IOC **仅用于防御和检测目的** — 旨在协助安全团队、威胁情报平台和研究社区识别和封锁相关基础设施。
_最后更新:2026-05-14_
标签:Cloudflare, ESC8, Instagram安全, IOC指标, MITRE ATT&CK, Object Callbacks, PhaaS, SHARPLOGS, STIX 2.1, WIXXI TOOLS, 公开情报, 凭据窃取, 失陷标示, 威胁情报, 安全分析师, 安全报告, 开发者工具, 扩展钻石模型, 搜索语句(dork), 社会工程学, 网络钓鱼, 钓鱼即服务, 防御加固, 黑灰产