近期,作为一项国际执法行动的一部分,暗网勒索软件团伙BlackSuit的暗网网站已被查封。此次查封行动包括BlackSuit的谈判网站和数据泄露网站,这是根据法院授权的查封命令进行的。
目前两个暗网网站已被横幅广告取代,告知访问者美国国土安全调查局(U.S. Homeland Security Investigations)在“CheckMate行动”中查封了这些网站。此次执法行动的名称为“Operation Checkmate”,得到了多个执法合作伙伴的协助,包括美国司法部、联邦调查局(FBI)、美国外国资产控制办公室(OFAC)、欧洲刑警组织(Europol)、英国国家打击犯罪局以及加拿大、德国、乌克兰、立陶宛、爱尔兰和法国的执法机构。罗马尼亚网络安全公司BitDefender也参与了此次行动。目前,当局尚未就此次行动及相关进展发布官方声明。
BitDefender称其专业的Draco团队自2023年5月BlackSuit出现以来,一直在研究这款勒索软件,为执法机构提供专业协助。这项工作是BitDefender与全球合作伙伴携手打击网络犯罪的持续承诺的一部分。Bitdefender已公开分享数十款免费的勒索软件解密工具,为全球企业节省了约16亿美元的赎金。
勒索软件团伙BlackSuit于2023年6月首次出现,以使用双重勒索手段和收取高额赎金而闻名,其中一些目标支付的赎金超过200万美元。过去一年,网络防御和情报团队对该组织进行了密切关注,力求了解其起源、运营和能力。
在对得克萨斯州达拉斯市发动勒索攻击后,BlackSuit团伙对品牌进行了重新定位。在此之前,该勒索软件团伙曾以“Royal”为名进行运营,时间跨度是从2022年9月至2023年6月,“Royal”最初于2022年底被确认为“Zeon”的一个分支。而在“Royal”之前,该团伙曾以“Quantum”为名运营,而“Quantum”据称是由Conti勒索软件团伙的成员创立。以“BlackSuit”为名运营期间,该勒索软件团伙在全球范围内声称攻击了超过185个目标,而在“Royal”时期则声称攻击了超过350个目标。
2022年秋,有报道开始将BlackSuit(当时以Royal的名义运营)背后的人员与Conti联系起来。Conti是一个知名勒索软件团伙,在经历了一年动荡的泄密和内部冲突后解散。Conti与BlackSuit(原Royal)之间的联系也引发了人们对BlackSuit行动地点的猜测,暗示其行动基地位于俄罗斯或乌克兰等地区。
尽管此次执法打击行动是个好消息,但研究人员指出,BlackSuit可能已更名,或其部分前成员已组建了一个新的名为“Chaos”的勒索软件团伙。思科Talos的研究人员在2025年6月24日的一篇博客文章中解释称,由于加密方法、勒索说明和攻击中使用的工具集与BlackSuit相似,他们有一定把握地认为该新团伙是由BlackSuit勒索软件团伙的成员组建的。目前,Chaos已经发动了至少十次勒索攻击,主要针对美国,该新勒索软件团伙似乎并未针对任何特定行业。
“BlackSuit基础设施的破坏标志着我们打击有组织网络犯罪的又一个重要里程碑,”参与此次行动的Bitdefender网络犯罪研究部门Draco Team的一位代表表示。“我们赞扬执法合作伙伴的协调和决心。此类行动强化了公私合作在追踪、揭露并最终瓦解暗中运作的勒索软件团体方面的关键作用。当全球专业执法力量齐心协力时,网络犯罪分子将无处遁形。”
2025年7月28日,美国联邦调查局达拉斯办事处宣布,从属于Chaos勒索软件集团成员的加密货币地址中查获了20枚比特币(目前价值约230万美元)。这些资金被追踪到一个名为“Hors”的关联方使用的比特币钱包,该关联方涉嫌对得克萨斯州北部地区及其他地区的公司发动攻击并勒索付款。美国司法部于2025年7月24日在得克萨斯州北部地区法院提起民事诉讼,寻求没收该笔资金,该资金于今年4月中旬被达拉斯联邦调查局查获。
BlackSuit的受害者 BlackSuit的主要目标行业是制造业、教育、研究、医疗保健和建筑行业等。制造业和医疗保健行业仍然是利润丰厚的目标,因为与政府和咨询业等其他行业相比,这些行业的预期利润和收入范围可能更广。BlackSuit攻击利润和预期收入更高的企业的策略,在识别零售业的潜在受害者时也同样适用。
BlackSuit的大多数受害者都是位于美国的组织,而英国、加拿大、比利时和西班牙等国家的其他组织的受害者数量则少得多。
在过去一年中,BlackSuit已造成103名受害者。自2024年11月以来,每月声称的攻击次数急剧下降。这种活动减少可能是该团伙为保持低调而采取的战略举措。攻击次数的减少也可能预示着该团伙即将迎来又一次沉寂,届时该团伙发展壮大,并以不同的名称重新命名。
BlackSuit的暗网数据泄露网站 BlackSuit的暗网数据泄露网站布局简洁,却足以满足勒索的目的。暗网网站上的帖子详细列出了被入侵的企业目标信息,并附上了最新动态和被盗数据的链接。在被查封之前,BlackSuit的暗网数据泄露网站上已有超过150篇目标相关的文章。
一些文章中还提供了所入侵目标的更多详细信息,例如公司联系人的LinkedIn页面以及被盗数据的目录列表。暗网网站上提供了一个联系页面,受害者可以通过该页面向BlackSuit请求支持,以恢复其系统和数据。请求支持的受害者必须在赎金通知中提供唯一的受害者ID或协商链接,该链接会与联系BlackSuit的说明一起包含在内。受害者还需要在请求中提供其电子邮件地址。
BlackSuit不像其他一些勒索软件团伙那样拥有社区论坛或Telegram和X等社交媒体页面。这体现了这样一种观点:谨慎运营是最大限度降低 OPSEC(运营安全)风险(例如泄露通信、代码、基础设施和员工名单)的最佳方式。
尽管BlackSuit的数据泄露网站看似简单,但其发送和接收高额赎金要求的举动,使其明显是一个拥有经验丰富的内部团队支持的威胁行为者。这种经验也帮助BlackSuit评估企业的收入,并将其作为结构化、选择性攻击受害者的流程的一部分。与许多其他勒索软件团伙相比,该团伙够在短时间内获取巨额财富。
BlackSuit被查封的暗网网址之一:http://weg7sdx54bevnvulapqu6bpzwztryeflq3s23tegbmnhkbpqz637f2yd[.]onion
另一个买卖被盗数据的暗网论坛DarkForums存在存储型的XSS漏洞,有组织声称已经渗透了该网站,并在X上发布了消息。
7月27日,@DarkWebInformer在X上发布推文警告称,DarkForums存在活跃的跨站脚本(XSS)漏洞。请勿使用该网站,它不安全且会泄露您的IP地址!并附了一个弹框截图,展示了当前的Cookie。“暗网下/AWX”根据该截图确认暗网论坛DarkForums存在XSS跨站漏洞。
随后,网络安全组织@NullSecurityX进行了回复,称DarkForums被NullSecurityX黑了:)但开玩笑归开玩笑,该推文在随附的视频中展示了Darkforums上发现的漏洞。并称祝大家渗透愉快,同时at了@DarkWebInformer。视频中,@NullSecurityX展示了其发布含有javascript标签的html代码后触发执行,并跳转至其X页面。
对此,BreachForums的新管理员hasan回复称,这不仅仅是DarkForums的问题,而是MyBB软件本身的问题。该软件存在大量CVE漏洞,简直令人难以置信。要真正解决这个问题,唯一的方法就是禁用大多数用户喜爱的功能。
hasan把这个问题归结于该论坛使用的开源PHP程序MyBB的MyCode功能存在的漏洞,他称,看来DarkForums和其他论坛并没有认真考虑他的方法,因为他们大多迅速忽视了安全问题,尤其是使用被称之为MyBB的这个所谓的“地雷阵”软件。
hasan称这无法预防,他看到BreachForums的明网和暗网门户,或者说那个任何人都能看到的蜜罐,也存在相同的问题,而他们当然没有禁用任何功能。
hasan表示,在此之前,我更倾向于效率而非美学。因为“美学”和纯粹的愚蠢,使用MyBB的论坛都没打算修复这个漏洞。因此需要一场呼吁尽快更换MyBB软件的运动,他的新论坛已经准备好进行更改了。
MyBB如何修复这个漏洞?hasan表示应该禁用相关功能,因为MyBB将这些功能硬编码在系统中,尤其是MyCode,即使安装了插件也无法阻止,因为MyBB的设计只允许通过其后台管理控制面板禁用MyCode。
hasan还透露,入侵DarkForums的人正在以200美元的价格出售数据库——这些数据目前在Roblox平台上流通。
NullSecurityX(NullSecX)的介绍 NullSecX自称是一家网络安全公司,根据其自我介绍,在NullSecX,他们助力企业始终走在不断演变的网络威胁环境的前沿。
通过主动识别和分析新兴漏洞与攻击,NullSecX提供及时的洞察和前沿的安全解决方案。NullSecX称自己的使命很简单:帮助您在威胁发生前就预见它们——以便您能够以信心和精准度保护您的数字资产。
NullSecX的LinkedIn在招募更多人加入NullSecX,称可以共同站在网络安全创新的前沿。
NullSecX还拥有一个Youtube页面:https://www.youtube.com/@NullSecurityX
DarkForums是什么网站 DarkForums是一个与BreachForums类似的暗网被盗数据交易论坛,声称可以提供任何目标的多种类型数据,以及来自全球65个国家(涵盖欧洲、亚洲、非洲、美洲、大洋洲等各大洲)的数据,均存储于此云端。
其在Telegram频道中表示,拥有⭐️军事文件数据库、⭐️完整公司数据库、⭐️文件扫描(身份证、驾驶证、护照)、⭐️消费者信息数据库、⭐️电话列表数据库、⭐️电子邮件列表数据库、⭐️外汇与加密货币数据库、⭐️赌场与游戏数据库、⭐️公民身份 & 社会保障号 & 税务识别号数据库、⭐️大型网站数据库……
据介绍,该网络犯罪分子使用的网站可以在明网(https://darkforums[.]st)与暗网(http://qeei4m7a2tve6ityewnezvcnf647onsqbmdbmlcw4y5pr6uwwfwa35yd[.]onion)同步访问,“暗网下/AWX”预计,FBI不会让其存在太长事件,未来也许会有国际执法机构对其的联合行动。
根据欧洲刑警组织的消息,经过法国警方和巴黎检察官领导的长期调查,与乌克兰同行和欧洲刑警组织密切合作,逮捕了世界上最具影响力的俄语网络犯罪平台之一暗网论坛XSS.is的其中一名主要管理员。
该暗网论坛拥有超过5万名注册用户,是被盗数据、黑客工具和非法服务的主要交易市场,也是俄罗斯三大顶级暗网论坛之一。长期以来,它一直是一些最活跃、最危险的网络犯罪网络的中心平台,用于协调、宣传和招募人员。
此次逮捕于7月22日在乌克兰基辅进行,是一系列协调执法行动的一部分,旨在收集证据和摧毁犯罪基础设施。
犯罪嫌疑人通过网络犯罪赚取数百万美元 该论坛的管理员不仅是一名技术操作员,而且据信在犯罪活动中扮演了核心角色。他作为值得信赖的第三方,仲裁犯罪分子之间的纠纷,并保障交易的安全。据信他还运营着thesecure.biz的jabber服务器,这是一款专为地下网络犯罪分子需求而设计的私人消息服务。
据估计,嫌疑人通过这些服务赚取了超过700万欧元(820万美元)的广告费和手续费。调查人员认为,他活跃于网络犯罪生态系统近20年,多年来与多个主要威胁行为者保持着密切联系。
法国警方持续数年的广泛调查 该调查由法国警方于2021年7月2日启动,2024年9月,案件在乌克兰进入行动阶段,法国警方调查人员被部署到当地,并得到欧洲刑警组织通过建立虚拟指挥所的支持。
经过为期四年的调查,本周又采取了另一项行动,在乌克兰基辅逮捕了主要嫌疑人。
作为调查的一部分,法国警方截获了Jabber服务器(thesecure.biz)上的录音,该服务器附属于XSS.is论坛,以方便网络犯罪分子之间的匿名交流。
欧洲刑警组织提供了协调支持 欧洲刑警组织在整个调查过程中提供了必要的行动和分析支持,促进了法国警方和乌克兰当局之间的信息交流和协调。
欧洲刑警组织还协助绘制了网络犯罪基础设施图谱,并将嫌疑人与其他主要威胁行为者联系起来。这种协作方式确保了快速、有针对性的响应,摧毁了犯罪平台,并阻止了通过该论坛进行的非法活动。
在本周基辅的执法行动中,欧洲刑警组织部署了一个移动办公室,以支持法国和乌克兰团队进行现场协调和证据收集。缴获的数据将进行分析,以支持欧洲及其他地区正在进行的调查。
IOCTA 2025报告强调了被盗数据市场的威胁 此次行动与欧洲刑警组织《2025年互联网有组织犯罪威胁评估》(IOCTA)的结果一致,该评估强调,蓬勃发展的被盗数据黑市是网络犯罪经济的关键驱动因素。
像XSS.is这样的平台使得被盗数据、黑客工具和非法服务的交易和货币化成为可能,从而助长了各种犯罪活动——从勒索软件和欺诈到身份盗窃和敲诈勒索。
IOCTA揭示了此类暗网市场如何通过提供访问、匿名和信任机制来支持网络犯罪分子的运作。
以下部门参与了调查:
法国:巴黎检察官(Parquet de Paris – JUNALCO)、法国警察 – 巴黎警察局(Police française – Préfecture de Police de Paris – Brigade de lutte contre la cybercriminalité) 乌克兰:乌克兰总检察长办公室(Офіс Генерального Прокурора України)、乌克兰安全局 – 网络犯罪部门(Служба безпеки України – Кібердепартамент) 犯罪社区引起轰动,但影响有限 根据X用户@3xp0rtblog的推文,XSS.is论坛社区正在积极讨论这一情况。
不过,版主似乎正在删除所有讨论管理员LARVA-27的内容。版主LARVA-466(Rehub)在 Telegram 聊天中证实了这一点。这样做的目的是压制任何可能将局势变成有新闻价值事件的叙述,并在此过程中“钓”西方人。
不过,虽然XSS[.]is域名显示了查封通知,但备用明网域名xss[.]as、.onion网站(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)和位于thesecure[.]biz的Jabber服务仍在线运行。
因此目前看来,执法行动逮捕了XSS[.]is的一名管理员,并扣押了XSS[.]is域名,但并没有捣毁其包括服务器在内的基础设施,似乎XSS[.]is并没有被打倒,其在俄罗斯的庇护下依然活着,没有俄罗斯执法机构的配合,也很难完全被摧毁,西方执法机构仍需努力。
6月底,臭名昭著的专门交易被盗数据的暗网论坛BreachForums再次被警方摧毁后,在管理员hasan的努力下,新的BreachForums克隆版breached[.]ws上线继续运营。BreachForums的新管理员hasan近期依旧活跃,他在X上讲诉了自己的心路历程,并为新的BreachForums寻找投资者。
与此同时,执法机构正在努力,除了X(Twitter)外,hasan的Telegram、Snapchat、Instagram均被禁用;BreachForums的新域名也被服务商暂停解析,网站目前无法正常访问。
hasan讲诉了自己的心路历程 hasan在X上称想花一点时间谈谈我还没有谈及的事情,主要解释了自己为什么要做这些事情。随着执法部门的打击,BreachForums的域名已被查封,篡夺者到处都在尽其所能地践踏它的遗产,BreachForums面临着严重衰落,而他所做的是不希望这个社区面临这种情况。
hasan称自己这样做并不是为了钱,也不是为了权力,更不是为了给互联网人士留下深刻印象。hasan表示,一年前,他完全退出了他参与的另一个社区,直到后来加入了一个感兴趣的社区小组,在那里他遇到了IntelBroker,并在IntelBroker的帮助下完成了自己的项目(detrace[.]org),这让他非常感动,因为IntelBroker为他的项目提供了全部资金。正因为如此,hasan说自己才愿意为IntelBroker的遗产和IntelBroker认为的朋友圈服务,尽管所有人可能会误会自己是一个邪恶的人,试图将IntelBroker的所有权力据为己有。
hasan称自己不是最好的领导者,不是最好的破坏者,也不是最好的叩问者,或者别人可能想看的任何资格。hasan说自己只是来为社区服务,并计划为BreachForums做很多事情,他相信这些事情可以改变这些论坛的安全处理方式。另外hasan称尽管他已经在这个论坛上花了很多钱,但当他对目前的运行情况感到满意的时候,他还是会将其付诸投票,社区可以自己选择它想要寻找的领导者或领导者团体,如果不是他的话,他会辞职并交出所有的权力。
hasan表示自己对BreachForums社区怀有最大的敬意、忠诚和热爱,大家需要在困难时期团结在一起,这样BreachForums才能战胜所有敌人,最终回到它的黄金时代。
hasan为新的BreachForums寻找投资者 7月20日,hasan在X发布推文称,BreachForums正在为论坛寻找潜在投资者,最好所有费用都不要由他承担,他在推文中先表示感谢。一旦找到投资人,他将删除此推文。
此外,hasan还在寻找另外的投资人,投资一个域名净值在15000美元左右的电子邮件服务。
BreachForums的新域名被服务商暂停解析 因为被执法机构投诉滥用,BreachForums的新域名被域名注册商Epik暂停解析。hasan称其团队试图拯救这个域名,但最终以失败告终,接下来他们将会把域名转移到另一家注册商。
hasan向执法部门挑衅道:“世界上的绿帽子们,只要我还活着,你们就别想呼吸。”并表示,在接下来的两三天内,他还将添加一些其他域名。
Epik反馈的具体的投诉内容:
尊敬的Epik滥用团队,
我写信是正式报告域名breached.ws,该域名目前通过您的nameservers注册,并且据称被用于非法和不法活动。该域名被用作论坛,广为人知为“Breachd”或“Breachd Forums”,该论坛广泛用于托管和分发被盗数据,促成未经授权访问受损系统,并推广其他形式的网络犯罪。该论坛作为一个市场和沟通平台,供网络罪犯使用,论坛中有大量公开宣传非法服务和内容的帖子,包括但不限于:
出售被盗的个人和财务数据(PII、银行信息、密码) 从受损网站中泄露的数据库 漏洞利用和恶意软件分发 黑客服务招聘 breached.ws的持续运营明显违反了您的《可接受使用政策》,并很可能违反了多项有关网络安全、数据隐私和犯罪法规的法律。我恳请Epik调查此域名,并尽快采取适当行动,暂停或终止对该注册人的服务。
如果您需要任何进一步的信息或支持性证据,我很乐意提供。
感谢您对此紧急事项的关注。
我们很感激您在这件事上的理解和合作。
此致
作为中文暗网市场的常青树,自由城(freecity)拥有一定的知名度,然而在最近几年自由城收割用户账户资金的事件被“暗网下/AWX”曝光后,自由城已经逐渐失去人们的信任。近期,某暗网市场网址分享测评的Telegram频道,多次发布公告,提醒人们不要相信自由城,自由城究竟发生了?“暗网下/AWX”带领大家一探究竟。
“不要相信自由城” 6月23日,拥有5000+订阅的某暗网市场网址分享测评的Telegram频道突然发布公告:“不要相信自由城!不要相信自由城!不要相信自由城!”在回复中,网友普遍在咨询“自由城怎么了”、“什么情况”、“啥情况 自由城”
该频道背后的管理员对于自由城大概有一定的消息渠道,于是在7月13日,该频道对前一公告进行了解释:
一、自由城重新开放,解释以前不能提币原因还是老一套说辞,说数据丢失了,让有币提不出来的提供证据给提币,账号数据都删除了,以前的账号都登录不上,要重新注册,怎么提供证据呢?而且目前网站上所有出售的商品都是以前的老账号发布的,就是个收割平台。
二、最新消息,自由城源代码已出售了(据说价格是5万RMB),掌握的人已换,这人也是抱着收割韭菜的心态来的,里面的商品不是以前老卖家发布的,就是平台方自己发布的。买家卖家不要用这个平台,不要充值。
对自由城收割用户,本站(anwangxia.com)曾专门发布文章进行了介绍,并在今年自由城称“升级界面焕新出发”的时候提出了质疑。以上频道的解释恰恰证明了“暗网下/AWX”长期以来的判断的正确性。
自由城拥抱色情内容 很显然,自由城不满足仅收割用户账户的资金,其需要重复挖掘暗网市场的潜力,于是其以官方名义推出了色情内容。根据Telegram频道“自由城官方公告”于5月20日发布的公告:
[自由城]改版升级公告
—— 为更好的相遇,我们即将焕新出发
亲爱的社区伙伴们:
感谢大家一路以来的陪伴与支持!为了提供更优质的服务、更流畅的体验以及更多元化的互动功能,我们计划于 2025年 4月 24日 对网站/社区进行全面改版升级。
🔍 本次改版重点内容
✅ 界面全新设计:更简洁直观的视觉风格,信息浏览更高效
✅ 功能优化升级:新增粉红豹,暗网网址搜索,电报群渠道搜索
✅ 交易手续费:交易手续费为:一般会员5%、高级会员3%、VIP 1%,较之前大幅降低。
✅ 提现经验:提现手续费为 只 1$,48小时之内 处理
⏰ 改版时间安排
施工期:4月 24日 16:00 – 6月 24日 24:00
❤️请放心,所有客户资金和正在进行的交易都是安全保持的。
若遇延期将第一时间通知
改变是为了更好的陪伴,您的每一份建议都是我们前进的动力!期待与您共同见证全新的自由城 🌟
[自由城运营团队]
[2025年 5月 20日]
最显著的变化就是增加了“粉红豹”,粉红豹是什么,再参考5月14日的公告:
同城约炮
楼凤,外围,会所,洗浴,妹子
信息免费查询
认准粉红豹6年老字号
Https://52fenhongbao[.]com
原来这是自由城官方推出的色情服务平台,“粉红豹”网站自我介绍是“楼凤小姐兼职包养信息平台”,平台会员价格是:一年35USDT、永久70USDT,此外,还可通过支付费用通过客服人员推介:“如果需要一二线高端上门,请支付50元,并联系 客服1号或 客服2号;如果需要查看单条帖子请支付75元并联系客服,充值后的金额也可用于开通会员”。至于这个网站推荐的楼凤小姐信息是真是假,“暗网下/AWX”无从考证也无法尝试。
通过色情服务可以更好的增加流量,拥有了流量就可以收取广告费,自由城目前有三个广告:一是替菠菜做广告(“开元官方直营无中间商收博彩量SE0量劫持量”);二是替引流服务做广告(“精准引流邮件推广代发”);三是替黑客服务做广告(“如果你在寻找全网最靠谱的渗透团队和数据”)。这些黑产服务是否真实靠谱还是同样是收割有缘人,只能各位自行尝试了。
此外,为了更多的流量,在“自由城”暗网网站的首页里,也整合了“粉红豹”网站的内容,可以直接选择查看全国各省市的楼凤信息。
自由城从一个暗网交易市场向色情平台的深入转型,体现了中文黑产发展的变化。只是无论是暗网市场还是色情平台,一如既往的欺骗已经让人们不再相信它,未来“自由城”将走向何方,让我们拭目以待。
更多暗网新闻动态,请关注“暗网下/AWX”。
WinRAR是全球最受欢迎的Windows文件压缩实用程序,用于创建和查看归档文件(RAR或ZIP文件格式)以及“解压”其他格式的归档文件和包含这些归档格式的可执行文件。
由于其庞大的用户群——WinRAR在全球拥有超过 5 亿用户——该软件中的漏洞经常被各种威胁行为者利用。由于WinRAR没有自动更新功能,WinRAR用户必须在官方网站手动下载并安装最新可用版本。
针对WinRAR的复杂零日漏洞(0day)已出现在暗网市场上,标价高达80000美元。这个此前从未被发现的远程代码执行(RCE)漏洞影响了该广泛使用的软件的最新版本和早期版本,引起了全球数百万用户的极大担忧。
该零日漏洞由一名使用化名“zeroplayer”的威胁行为者在暗网网络犯罪论坛上发布主题,进行销售。根据描述,此零日漏洞与最近披露的CVE-2025-6218完全不同,这表明WinRAR可能同时面临多个严重的安全漏洞。
这种区别尤其令人担忧,因为它表明即使用户已经修补了系统中已知的漏洞,仍然可能面临风险。
关于编号为CVE-2025-6218的漏洞 WinRAR中最近修补的目录遍历漏洞(CVE-2025-6218)可被远程攻击者利用在受影响的安装上执行任意代码。该漏洞已在2025年6月10日发布的WinRAR 7.12 beta 1中得到修复,建议用户尽快升级到该版本。
CVE-2025-6218是由名为“whs3-detonator”的研究人员通过趋势科技零日计划发现并私下报告的,该漏洞存在于存档文件中的文件路径处理中。
ZDI的安全公告解释道:“精心设计的文件路径可能导致进程遍历到非预期的目录。攻击者可以利用此漏洞在当前用户的上下文中执行代码。”、“利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。”
CVE-2025-6218影响:
WinRAR v7.11(及更早版本) Windows版本的RAR、UnRAR、便携式UnRAR源代码和UnRAR.dll RARLAB表示:“Unix版本的RAR、UnRAR、便携式UnRAR源代码和UnRAR库以及Android版本RAR均不受影响。”
新的零日漏洞具备远程代码执行功能 “zeroplayer”称,该零日漏洞使攻击者能够通过特制的压缩文件在目标系统上执行任意代码。远程代码执行功能意味着只需打开恶意存档文件就可能危及整个系统。
这种漏洞尤其危险,因为WinRAR安装在全球数亿台计算机上,这使其成为寻求广泛影响的网络犯罪分子的一个有吸引力的目标。
80000美元的售价反映了网络犯罪分子对零日漏洞的高度重视,尤其是针对广泛部署的软件的零日漏洞。这个定价还表明漏洞利用可能是独家的或特定有限使用,因为大规模销售的漏洞利用通常在地下市场上价格较低。
此次漏洞的出现凸显了软件开发人员在维护安全应用程序方面面临的持续挑战。WinRAR的悠久历史和广泛的功能集使其成为安全研究人员和恶意行为者的一个复杂目标。
该漏洞影响软件的多个版本,这表明它可能是应用程序架构中的一个根本缺陷,而不是最近漏洞类似的编码错误。网络安全专家强调,零日漏洞是数字领域最严重的威胁之一,因为它们针对的是没有补丁或防御措施的未知漏洞。
依赖WinRAR进行文件压缩和提取的企业和个人用户应保持警惕,并考虑实施额外的安全措施,例如沙盒或替代压缩工具,直到获得更多漏洞的详细信息。
网络安全社区正在密切关注这一发展,因为此类漏洞在暗网市场上的出现往往先于其用于有针对性的攻击或更广泛的网络犯罪活动。安全研究人员正在努力识别和了解该漏洞,以制定适当的对策,并告知WinRAR的开发人员该漏洞对其用户群的潜在威胁。
上个月底,臭名昭著的专门交易被盗数据的暗网论坛BreachForums再次被警方摧毁,ShinyHunters、Depressed、Hollow(Anastasia)和IntelBroker等多名管理人员在法国被逮捕。然而,这并不影响网络犯罪分子追寻自由的心,“暗网下/AWX”发现,进入七月份,两个新的BreachForums论坛如同雨后春笋,正在生根发芽。
新的BreachForums克隆版breached[.]ws已上线 7月1日,管理员Hasan和thej在Telegram频道发布消息,新的BreachForums克隆版已上线,该网站似乎是从零开始建立的,拥有全新的外观,没有前一版本的用户数据或旧主题帖子。
新的BreachForums克隆版的访问地址为:
明网:https://breached[.]ws/
暗网:http://breachy72uc3rgraqpvfnb6dglhbcy7niqpmjdlseewzgpq4vifmmuyd[.]onion/
新论坛设置了新的规则,那就是禁止发布有关9-Eyes政府数据泄露相关的帖子。管理员Hasan估计,这一限制可能会减少10-20%的收入,但他认为这是保持论坛在线而又不引起直接执法行动的唯一办法。听起来像是一个全新的开始?但也许不是……FBI的执法似乎不仅针对泄露政府数据。
然而,就在一天后,一个名为“test55”的用户在新的网站上发布了一个主题,声称他们通过图片处理利用了一个SSRF(服务器端请求伪造)漏洞,从而获得了新论坛所在服务器的IP地址(86.54.42.86)与网站所有访问者的IP地址。
Hasan对breached[.]ws存在漏洞做出回应 Hasan称,昨天一个随机的“威胁行为者”试图访问被攻破的breached[.]ws的后台,或者说是自己曾经认识的一个人,但该人知道真实的后台IP。
长话短说,该人试图通过服务器端请求获得访问权限,而这恰恰是毫无道理的,因为这只会得到他已经得到的东西——IP。
Hasan表示,有趣的是,在这个过程中,他的DNS缓存泄露了,他的IP也泄露在了处理恶意活动和DDoS Guard的CDN的访问日志中,他还自爆了身份,试图羞辱Hasan和Hasan的团队。
Hasan说发现该人的IP属于巴西的Db3 Servicos De Telecomunicacoes S.A。他是巴西人,这一点也不奇怪。他的CIDR IP地址子网是45.179.224.0/24。
Hasan说这证实了此人为被他抛弃的巴西人,这有点令人讨厌,之前,他曾与5个不同的开发人员一起开发网站的WIP。
此外,Hasan还解释了为什么访问日志会记录IP或DDoS guard等服务。他说每个网站都会记录 IP,这是标准做法,尤其是当用户使用DDoS Guard或CDN等保护时。日志用于检测可疑活动,比如有人试图通过开发工具窥探后台。但他保证breached[.]ws的日志每24小时会被清除一次,所以不用担心。
对于MyBB邮件SSRF漏洞(CVE-2025-29459)并未在6月份的1.8.39更新中得到修复,出于其他安全原因,Hasan称将禁用BreachForums上的邮件功能,因为同步和修改MyBB软件会影响其自带的其他功能。
针对存在可能存在其他漏洞的问题,Hasan回应称“我将添加最后的更新,那就是shoutbox,我已经限制了大部分(如果不是全部的话)CVE,否则我可以在未来最终得到证明,如果在我们更换软件之前出现了什么问题,之后我们将在论坛上工作人员OG的帮助下上传我能找到的旧数据库。“
Hasan称breachforums[.]info是一个假冒 Hasan还描述了另一个消息,称Anti-Extortion Network的创始人联系了他,告诉他一个显而易见的事实:http://breachforums.info是一个假冒的BreachForums克隆版,他们的管理员Jaw不是原RaidForums的Jaw,这一点他们之前已经知道很多次了。
Hasan说但是他不知道假冒网站管理员Jaw竟然有来自RaidForums的Jaw的真实联系方式,但他很快就会发消息说明他们是如何使用Jaw的化名的。Hasan称如果想获得更多证据,可以直接通过@v6kp7qx90njz55yru71x6fdwz0联系Bear,这是他的Telegram账户。
目前唯一的BreachForums域名是http://breached.ws,也许即将出现的许多其他域名,Hasan表示已经走了很长的路,将通过扩大其员工团队来使自己合法化,其员工团队将包括大家眼中的导师以及让BreachForums成为BreachForums的作者(发布被盗数据的网友)。
仿冒论坛breachforums[.]info于7月1日开启 鉴于BreachForums的知名度极高,于是假冒的BreachForums论坛前赴后继的产生然后覆灭,本站之前曾报道过新出现的假冒BreachForums论坛breached[.]fi。
该论坛创始人Jaw在论坛上线的时候发布了主题帖“我们回来了——更强大、更聪明、更有韧性”,称“你们很多人都认识我–我叫Jaw。今天,我正式宣布,我们中的许多人都称之为家的地方回归了:BreachForums”。具体帖子内容如下:
首先,请允许我向选择回来帮助我们重建的各位致以诚挚的谢意。你们的忠诚、坚韧和对社区的承诺远非言语所能表达。
发生了什么——我们的立场
正如你们许多人所听说的,ShinyHunters和IntelBroker已被逮捕。在此过程中,当局查封了所有服务器基础设施,包括数据库、源代码和用户数据。联邦调查局和法国执法部门现在已经掌握了之前论坛的全部数字足迹。
让我明确一点:旧论坛的所有内容都已泄露。
这对你意味着什么
如果您要返回,请重新开始。
新的用户名。
新的 OPSEC。
不要重复使用任何以前的用户名、PGP 密钥或标识符。
我们已经看到了人们过于安逸的后果。不要重蹈覆辙。
澄清MyBB传闻
有人猜测此次漏洞使用了所谓的MyBB 0-day漏洞。这种说法是错误的。
只有IntelBroker可以直接访问后台和源代码。“0-day”谣言只是一个烟雾弹,是ShinyHunters转移视线的一种手段,目的可能是争取时间和转移视线。但真相已经浮出水面。
继续前进
我们都吸取了一些惨痛的教训。我们不会忽视它们。
这次重建不仅仅是将碎片重新组合在一起,而是要创造出更强大、更智能、更安全的东西。我将全力以赴,采取一切必要的措施来保护这个社区,确保我们的重建工作不会重蹈覆辙。
这是一个新的篇章——对于那些准备参与其中的人,我欢迎你们。
我们重建。一起重建。
仿冒的BreachForums的访问地址为:
明网:https://breachforums[.]info/
暗网:http://gtihui3n5rijtibu4knip53wopp2teaxa2zphr66bi2yivb5fiekb6id[.]onion/
如果breached[.]ws是正宗血统BreachForums的传承,那这将会是第四版BreachForums,第四版BreachForums的命运将如何,会不会像Hasan所言的合法化运行,“暗网下/AWX”将继续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
长期以来,暗网市场跟随岁月转变,交替更迭,始终延续旧去新来的发展趋势。根据@DarkWebInformer的消息,暗网市场Elysium Market于6月22日突然无法访问,成为6月份消失的第二个暗网市场。多方消息显示,Elysium Market同样选择了退出骗局。“暗网下/AWX”已经报道,6月份消失的第一个暗网市场是被国际联合执法行动摧毁的Archetyp Market,而Abacaus Market在6月29日的销声匿迹使其成为今年6月份消失的第三个暗网市场。
Elysium Market是一个英文版本的暗网交易市场,Elysium Market的浏览体验流畅直观,网站界面友好,产品按类别清晰展示。清晰的市场流程和安全措施沟通,提升了用户的信任度和满意度。该市场还具有自动提款、Jabberbot、多重签名支持,拥有一定的用户量。
6月22日,暗网论坛Dread用户/u/BigFisha42发布主题“ElysiumMarket”,询问“请ElysiumMarket的版主给我发消息,该子论坛现在显示为私有。我无法再通过任何洋葱链接访问该网站,而且我有多个未结订单。希望得到任何帮助。”该主题没有得到Elysium Market相关管理人员的回复。
Dread管理员/u/HugBunter跟进了该事件,在回复中表示”看来他们可能出了什么事,退出了。所有员工账户都已删除,他们还将Dread分站设为私有。我们将等待24小时,看是否有人来解释。“然而,并没有Elysium Market相关的人员进行答复或者解释,因此,Elysium Market确系选择了退出骗局(关闭网站,卷有所有所有属于网站用户的加密资产)。
用户/u/blackhorn19称,在Arechtyp损失23个xmr,在Elysium Market损失7个xmr,6月份总共损失30个xmr。
Elysium Market曾宣称拥有极致的安全和隐私 安全特性 Elysium Market致力于匿名安全,采取多种措施保护用户:
强制双因素身份验证(2FA):所有用户必须执行,以确保安全访问。
PGP加密:用于所有私人消息,确保通信保密。
托管系统:资金将被保留,直到买家确认收到为止,从而降低欺诈风险。
自动提现:用户可以设置XMR退款地址,自动提取10美元以上的资金,增强资金安全性。
减少危害部分:提供有关安全用药的信息,强调用户安全和教育。
独特功能 Elysium Market提供多项独特功能:
按自己的方式销售:供应商可以选择每笔销售收取3%的佣金或每月收取0%的佣金,从而为其商业模式提供灵活性。
供应商Jabber通知:确保供应商收到重要更新的通知。
XMR支付选项:所有商品均接受XMR,增强交易匿名性。
删除帐户:买家可以通过输入PIN来删除他们的帐户,从而增加对个人数据的控制层。
随着国际执法机构对暗网黑市的打击,已经赚到钱的暗网市场背后的管理人员将会非常恐惧,未来应该会有更多暗网市场选择自主关闭,而”退出骗局“是他们最佳的选择。
更多暗网新闻动态,请关注“暗网下/AWX”。
在臭名昭著的暗网市场Archetyp Market被国际执法行动摧毁后不久,另一个较大的暗网市场Abacaus Market近日突然也无法访问。“暗网下/AWX”总结过,暗网市场无法访问,只有三种可能:执法查封、赚足退休、退出骗局,Abacaus Market是因为什么原因,暂时不得而知。
Abacaus Market创建过2021年9月,当时号称建立一个安全、稳定和易于使用的暗网市场,创建时名为Alphabet Market。据称该市场是从零开始的编码开发,在设计方面,该市场采用了其管理员最喜爱的暗网市场Alphabay的原始设计,仅对模板进行了一些改动,但始终保持了Alphabay的精髓。
7月1日,@DarkWebInformer在X上发布预警,称“Abacus Market要么是被警方端了,要么是退出骗局,你自己选择吧……如果这个市场恢复了,你再继续使用它就是傻瓜了”。同天@vxdb也在X上表示,Abacus Market不容乐观。如果情况属实,这可能是近一个月倒下的第3个暗网市场。
暗网论坛Dread的一个用户/u/sus123321追踪了他在Abacaus Market的BTC存款,发现一个半小时前有一个钱包转入了价值23.7万美元的比特币,证明及有可能正在进行退出诈骗。这与网站断开连接的时间相符….,sus123321在帖子中称可能自己是在胡说八道,但总觉得情况不妙。该用户追踪的比特币钱包是:bc1qgty07dylltge6xgvrtdxrhhhpemfwyjn4xqe5c,经本站(anwangxia.com)检查区块链,确实在7月1日凌晨3点19分,有一笔2.2个BTC的归集转移,之后再也没有变动。
对此,7月2日,Abacaus Market的管理员/u/Vito在Dread论坛发表“正在努力–DDOS”的主题,他说,自从Archetyp Market消亡后,Abacaus Market这些天的流量很大。最近,DDoS攻击对该暗网市场的影响非常大。但其表示一切都很好,在DDoS和大量新用户使用市场之间,他们需要一些调整。
他称很抱歉给用户带来不便,但其正在努力,当然也一如既往地感谢用户的耐心等待,请不要上当受骗。Abacaus Market恢复后,他会及时通知的。
在同一篇主题的回复中,Dread论坛的管理员/u/HugBunter确认了Vito的答复,并表示,暂时保留此评论,Vito正在与其联系,只有在认为必要时才会发布最新消息。HugBunter称已经得到保证,Vito正在努力让Abacaus Market重新上线,所以大家将从这里开始。如果Abacaus Market不恢复,Vito就没有什么理由还留在这里(Dread论坛)了。
但是对于以上的解释,用户并不买账,用户/u/jake0126的评论得到了许多用户的赞同,他首先感谢Vito抽出时间发布有关Abacaus Market的最新消息,但在这种情况下,其表示很难接受这种敷衍的解释。因为Abacaus Market连续数天出现严重的提款延迟,现在所有暗网镜像都已完全离线,没有保留部分服务,没有静态状态页面,除了在Dread发布的这篇帖子,没有任何后备通信及通知。
接着jake0126从专业角度进行了评论,他说即使是在严重的DDoS或流量激增的情况下,一个专业暗网市场同时完全关闭所有镜像也是极为罕见的。通常情况下,至少会保留一个镜像,或一个轻量级的洋葱状态页面,甚至可以保留一个带签名的PGP广播来确认情况。这也是任何一个有职能团队并真正打算恢复服务的暗网市场都会做的事情,保持一些可验证的通信线路畅通。
而在出现长期提款问题后立即关闭一切,然后在完全下线后再发布这样的帖子,这正是在过去无数退出骗局中看到的模式。这样做既能争取时间、压制投诉,又能防止用户在他们消失时追踪资金流向。
最后jake0126质疑道,如果Vito真的打算重新上线Abacaus Market,为什么不发布有偿付能力的加密证明呢?用Abacaus Market或者Vito控制的PGP密钥签署一条信息,并展示Vito用来提现的钱包的链上交易,证明Vito仍然控制着这些资金。这将大大有助于重建信心。否则,暗网网站的完全沉默和提现冻结后的时间安排让这看起来像是一次教科书式的退出骗局。如果Abacaus Market真的会回来,希望Vito能够提供更有力的证据和更有弹性的通信计划,因为现在,用户没有理由相信这种情况。
Abacaus Market创建时的广告宣传 全天候提供支持。 论坛提供 10 多种不同语言,可通过等级、奖励、大量版块和即将推出的新功能建立社区。 挂牌价格可自动转换为 14 种不同货币,包括美元、英镑、欧元、加元等常用货币。价格每几分钟更新一次。 订购实物产品时,所有客户地址都将自动加密;订购数字产品时,买家可选择适合自己的加密方式。 保存收藏的供应商/列表 买家黑名单 我们相信,整洁有序的界面对您的业务成功非常重要。您可以在一个页面上保存订单信息以及与之相关的指定聊天信息,无需额外加载,也无需独立的新消息通知。此外,您还可以发送延迟消息。 先进的消息系统,您可以邀请无限量的买家加入您的对话,还可以发送延迟消息。 比特币启用 2/3 Segwit Multisig Escrow 和 FE。很快将支持更多的币种。 100 美元不可退还的供应商保证金,仅适用于在其他市场上没有反馈的新供应商。(供应商保证金将在一定时间内增加) 卖家需支付 5% 的费用,买家无需支付任何费用。这是市场上独一无二的收费方式。无隐藏费用。 实体列表、按顺序自动发送的数字列表。 允许实体和数字房源。我们是唯一拥有先进自动发货系统的市场。您可以为每种发货方式专门配置自动发货功能(这样您就可以在一个列表中自动生成不同的组合)。 公开、私密(只有拥有链接的买家才能访问列表)或隐藏(任何人都无法访问列表) 快速克隆列表。 限制不可信任的买家购买您的列表,保护您的供应商账户免受来自竞争对手的不良反馈。 休假模式(5 天后不活跃的供应商将自动切换到休假模式) 外部员工共享访问模式(可允许访问销售+信息或仅允许访问销售/信息)。没有限制,一个账户可以管理无限多个账户。 全额或部分退款,供应商可在不退出市场的情况下向买家进行部分退款。 双因素认证 可配置的 jabber/xmpp 通知。您需要在我们的公共 jabber 服务器上创建一个 jabber 账户。 销售额达到一定数量后,供应商可以使用私人洋葱。 订单将在完成 30 天后被清除。不活跃的对话将在 30 天后被清除。 我们在提现过程中不收取任何隐藏费用(优化矿工费用除外,该费用由矿工而非我们收取,并在提现页面中注明)。 与丝绸之路相同。您可以选择佣金后定价或佣金前定价,因此我们可以帮助您直接获得净收入。大多数网站会直接从销售价格中扣除手续费。在 Alphabet 上,您可以选择从销售价格中扣除佣金。 Abacaus Market发布的带有PGP签名的网址信息 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 Current main-fixed public Links of Abacus Market: http://abacuseeettcn3n2zxo7tqy5vsxhqpha2jtjqs7cgdjzl2jascr4liad.
美国司法部周三表示,美国指控一名网名为“IntelBroker”的英国公民入侵全球数十家公司,窃取和出售敏感数据,造成超过2500万美元的损失。
根据本站(anwangxia.com)之前的报道,IntelBroker是“暗网下/AWX”梳理的暗网论坛BreachForums的第五位管理员,面临多项与非法网络攻击活动相关的指控。IntelBroker是入侵D.C. Health Link(国会健康数据)、“五眼”情报泄露和大规模T-Mobile数据盗窃的幕后黑手,他与出售美国政府系统访问权限和泄露军事文件有关。
25岁的凯·韦斯特(Kai West)于今年2月在法国被捕,据新闻报道,他自2月22日以来一直被关押,目前正在等待引渡至美国。一旦罪名成立,他将面临最高20年的监禁。美国司法部表示,韦斯特及其同伙试图在非法论坛上以超过200万美元的价格出售被盗数据。
根据最新公布的起诉书,韦斯特以“IntelBroker”的绰号在一个热门黑客论坛上出售被盗数据,该论坛据信是暗网论坛BreachForums——一个泄露数据库和黑客工具的交易市场。本周早些时候,法国媒体报道了几名涉嫌BreachForums管理员的嫌疑人被逮捕的消息。
警方表示,他们通过卧底侦探使用加密货币购买被盗数据,从而将韦斯特与IntelBroker联系起来。他们追踪到这笔加密货币付款来自一个以韦斯特真实身份注册的Coinbase账户。对他的Gmail账户进行搜索后,发现了他与该网络别名相关的个人和财务记录。起诉书称,调查人员还发现韦斯特使用相同的IP地址登录他的个人账户和IntelBroker的个人资料。
BreachForums是一个臭名昭著的交易被黑客入侵数据和网络犯罪工具的中心,在其创始人康纳·菲茨帕特里克(Conor Fitzpatrick)在美国被捕后,IntelBroker是该平台的管理员和所有者之一。
IntelBroker的罪行 “IntelBroker”是韦斯特的网名,他与同伙合谋入侵受害者(通常是公司)的计算机系统,窃取其中的数据(例如客户名单和公司营销数据),然后将窃取的数据出售牟利。韦斯特的计划实施与他领导的一个名为“CyberN[——]”的在线黑客组织有关,该组织经常访问一个特定的互联网论坛(“Forum-1”,即暗网论坛BreachForums)。
约在2023年至2025年期间,韦斯特约41次出售被窃取的数据;并约117次免费(或以Forum-1积分为代价)分发被窃取的数据。韦斯特及其同伙试图通过出售被窃取的数据至少牟取约200万美元。根据从这些违规行为的受害者处获得的信息,韦斯特及其同伙累计已给受害者造成至少2500万美元的损失。
根据对韦斯特在Forum-1中以IntelBroker身份发布帖子的审查,自2023年1月左右到2025年2月左右,韦斯特发布的大约158个帖子提供被盗数据以论坛-1积分或免费或以其他方式出售。在这158条公开消息中,至少有41条出售来自美国公司的数据。在这158条消息中,大约有16条为被盗数据提供了具体的要价,累计总额至少为2,467,000美元。在158条公开消息中,至少有25条邀请论坛1用户向IntelBroker(即韦斯特)发送私人消息以协商销售价格。其余117条公开消息向论坛-1用户免费提供被黑数据或以论坛-1积分换取数据。158条公开消息中至少有46条表明韦斯特与某个论坛-1用户(“CC-1”)合谋通过“入侵”(即“黑客攻击”)获取数据。韦斯特的公开信息(以IntelBroker的身份)表明他接受通过Monero付款,这是一种使用具有隐私增强技术的区块链来试图混淆交易并寻求实现匿名性和可替代性的加密货币。
韦斯特以“IntelBroker”的名义频繁发帖,并出售被盗数据,这使得他在Forum-1社区中声名狼藉。事实上,从2024年8月左右到2025年1月左右,“IntelBroker”在Forum-1上一直被认定为该网站的“所有者”。为了进一步提升其用户名的知名度,韦斯特将不同的图片与“IntelBroker”联系起来。
韦斯特的受害者包括一家美国电信供应商。韦斯特使用IntelBroker的绰号出售该电信公司的数据,其中包括其客户信息。韦斯特通过非法访问一台配置不当的服务器获取了这些数据。大约在2023年3月6日,韦斯特使用IntelBroker的绰号在Forum-1上发布了一条公开帖子,标题为“CyberN[——][删除受害者信息]数据库”。在该帖子中,韦斯特出售一家市级医疗保健供应商的数据,其中包括受害者患者的姓名、社保号码、出生日期、性别、健康计划信息、雇主信息等。
IntelBroker如何被FBI追踪到 根据@nattyfried,刑事指控将 “kyle.northern1337@outlook[.]com ”列为其主要电子邮箱账户。 该电子邮箱有一个与之相连的微软账户,通过该电子邮箱的 “用户名 “部分(kyle.northern1337),发现了另一个电子邮箱账户:kyle.northern1337@icloud[.]com
这个新的ICloud地址有几个与之相关的账户,包括一个在某时尚品牌留下评论的谷歌账户。在Luxottica数据泄露事件中,该电子邮件还与一个英国电话号码同时出现。
数据泄露事件中出现的电话号码有一个Facebook账户,该账户连接了一个新的电话号码(以64结尾)和一个新的电子邮件地址,该电话号码与 icloud 电子邮件中的电话号码一致,并与他的AppleID和Paypal账户相连。
2023年1月,联邦调查局的一名卧底特工在BreachForums上购买了属于名为“Victim-7”的组织的API密钥和登录凭证,发现该黑客的比特币钱包中的支付款来自一个与Ramp账户相连的独立钱包,而该账户是用Kai Logan West的驾照注册的。West在Bitcoin和Coinbase上的两个网站账户(后者以“Kyle Northern”的名字注册)都与West的Gmail账户有关联,该账户显示West参加了一个网络安全项目。其他线索还包括IntelBroker在BreachForums上发布的帖子,其中提到使用其个人电子邮件账户观看YouTube视频,以及不断更新的签名。
IntelBroker曾经被抓过,后被NCA招安 实际上,韦斯特(IntelBroker)曾于2018年被英国国家犯罪署(NCA)逮捕,罪名是抡棍抢劫和炸弹威胁骗局。当时其化名“Partial Duplex”,加入了一个自称为“Apophis Squad”的组织。
他有一个名为凯尔·诺尔(Kyle Northern)的 LinkedIn(法庭文件上也有)。在他以“PartialDuplex ”的身份被捕后,LinkedIn上显示他是英国国家犯罪署(NCA)的一名实习生。
据@vxunderground透露,NCA将韦斯特招入一个网络安全培训生项目,希望能够引导他向积极的方向发展,给他一个光明的前景。NCA清理了他的犯罪记录正式,将他招为正式学员,这让他的履历看起来不错,使他上了大学。结果不到两年后,他重操网络犯罪旧业。
他还使用过 “GnosticPlayers”、“DoxingMethod”、‘SeekedNow’、“TheRealCr4xy ”和 “kaibandit123 ”等化名。
等待韦斯特的将是相当漫长的刑期 根据美国司法部的公开报道,韦斯特,25岁,英国公民,被指控密谋实施计算机入侵,最高可判处5年监禁;密谋实施电信欺诈,最高可判处20年监禁;访问受保护的计算机获取信息,最高可判处5年监禁;以及电信欺诈,最高可判处20年监禁。
如果韦斯特被判有罪(他很可能被判有罪),他将面临20年(或更长时间)的联邦监禁。假设韦斯特的父母现在40多岁,当他出狱时,他们将被视为老年人。威斯特先生将在远离朋友和家人数千英里的铁窗中度过每一个圣诞节、新年、生日,甚至葬礼。
20年后,Breached(BreachForums)和Raid很可能会成为一个遥远的记忆,偶尔或在讨论网络犯罪历史时会被提起。IntelBroker 可能会被讨论,也可能不会。无论如何,随着生活的继续,他将被关在牢房里。
美国对IntelBroker的后续判决,“暗网下/AWX”将继续关注。