周二晚些时候,超过300个与已关闭的暗网市场“丝绸之路”(Silk Road)相关的休眠加密货币钱包在沉寂近五年后,首次活跃起来,向一个新的钱包地址发送了价值数百万美元的比特币,总计33.7个比特币(价值超过300万美元的BTC)被转移。
目前尚不清楚究竟是谁在幕后操纵这些转账,不过合并后的资金后来被发送到了Coinbase Prime的存款地址。
据区块链情报公司Arkham Intelligence称,这些钱包在2012年曾持有多达442,000个比特币。如今,它们只剩下大约416个比特币,根据今天的比特币价格计算,价值约3800万美元。
Coinbase总监兼链上分析师康纳·格罗根(Conor Grogan)此前曾发现一些钱包与“丝绸之路”创始人罗斯·乌布利希有关联,这些钱包中存有约430枚比特币,当时价值4700万美元。至少其中一个钱包似乎与周二的资金转移事件有关。
统计区块链浏览器Arkham上的一堆被标记为Silk Road的地址,总共176笔交易被标记,少量BTC从许多独立地址转移到一个单一的合并地址bc1qnysx9sr0s7uw39awr3hh099d5m0lvrnxz7ga54。
在“丝绸之路”关联地址最后一次转账后约24小时,33.7BTC被发送到一个中间地址,然后转移到一个名为“Coinbase Prime Deposit”的地址。在最近的活动之前,标记为Silk Road地址的最后一笔对外交易是在2021年2月2日发送的。
格罗根当时的评估重点关注了尾号为“WoPx1”的钱包地址,该钱包包含约90个比特币,价值近900万美元,并被Arkham归类为“丝绸之路”网络犯罪集团成员的钱包。该钱包至少14年没有进行过任何交易。
格罗根表示,除了“WoPx1”钱包之外,他还将大约430个比特币连接到与罗斯·乌布利希关联的数十个钱包中。他补充说,虽然这些比特币在14年前“可能只是尘埃”,但随着比特币价值的上涨,它们现在已经增长到相当可观的数额。
“我不会透露具体地址,但所有这些地址都是公开的(在审判文件中引用或直接相邻),并且已被多个来源追踪,”格罗根在一月份回复他的调查结果时写道。
I found ~430 BTC across dozens of wallets associated with Ross Ulbricht that were not confiscated by the USGovt and have been untouched for 13+ years
Back then these were probably dust wallets, now, collectively, they are worth about $47M. Welcome back Ross pic.twitter.com/KmCp4xcrI7
— Conor (@jconorgrogan) January 22, 2025 暗网市场“丝绸之路”的传奇故事 “丝绸之路“是最早的主要以毒品交易为主的暗网市场,从2011年至2013年之间运营,处理了超过150万笔比特币交易,价值2.13亿美元。“丝绸之路“也是最早以比特币结算进行交易的暗网市场,网站收取手续费。
暗网勒索软件团伙LockBit 5.0遭遇了严重的运营安全事故,安全研究员Rakesh Krishnan发现了其最新的基础设施,包括服务器、IP地址和明网域名均被泄露。
12月5日,Krishnan首次通过X(前身为Twitter)公布了调查结果,并指出该域名是最近注册的,与LockBit 5.0的活动有直接联系。他的发现显示IP地址205.185.116.233和明网域名karma0.xyz托管了该勒索软件团伙的最新暗网泄密网站。
🚨Exposing #LOCKBIT 5.0 Server: IP & DOMAIN
IP: 205.185.116.233 🇺🇸#AS53667
Domain: karma0[.]xyz
Reg: 2 November 2025
💡LockBit Group uses #Smokeloader in their attacks
MD5: e818a9afd55693d556a47002a7b7ef31#Lockbit5 #Ransomware #Security #Intelligence #OSINT #Databreach #TOR pic.twitter.com/U1AvMoCuck
— RAKESH KRISHNAN (@RakeshKrish12) December 6, 2025 Krishnan表示,暴露的服务器托管在AS53667(PONYNET)下,该网络由FranTech Solutions运营,该网络经常被滥用于非法活动而臭名昭著。
访问该IP,该服务器显示了一个DDoS防护页面,上面明确显示有“LOCKBITS.5.0”标识,这直接证明了它是该勒索软件团伙的基础设施。
此次重大泄露发生之际,LockBit团伙正凭借其增强的恶意软件攻击能力试图卷土重来。
域名注册信息及服务器暴露详情 WHOIS记录显示karma0.xyz域名于2025年4月12日在域名服务商Namecheap注册,有效期至2026年4月,使用了Namecheap的隐私保护服务,因此无法查看更多注册信息,但可以看到Namecheap隐私保护将冰岛雷克雅未克列为联系地点。
域名状态显示禁止客户端转移,这项防御措施是在基础设施被公开确认之后才采取的。这表明该团伙已采取措施锁定管理控制权,以应对信息泄露事件。
通过域名的解析记录可以看到,该域名采用Cloudflare的NS服务器(iris.ns.cloudflare.com和tom.ns.cloudflare.com)进行解析。
针对IP地址205.185.116.233进行网络扫描,发现该服务器开放了多个端口,包括易受攻击的远程访问端口,存在重大安全风险。
该服务器在端口21上提供FTP服务,在端口80和5000上提供HTTP服务,在端口3389上提供远程桌面协议 (RDP),在端口5985上提供Windows远程管理(WinRM),在端口49666上提供文件共享服务。
端口协议组件服务21TCPFTP Server80TCPApache/2.4.58 (Win64) OpenSSL/3.1.3 PHP/8.0.30 G7gGBXkXcAAcgxa.jpg3389TCPRDP (WINDOWS-401V6QI)5000TCPHTTP5985TCPWinRM47001TCPHTTP49666TCPFile Server 运行在Windows系统上的Apache Web服务器(版本2.4.58,OpenSSL 3.1.3和PHP 8.0.30)展示了该团伙的基于Windows的基础架构。
LockBit 5.0变种为迄今为止最危险的勒索软件 “暗网下/AWX”前期报道,LockBit 5.
暗网中隐藏着的诈骗网站比较多,“暗网下/AWX”多年来持续曝光了许多,今天要曝光的诈骗网站是这么些年以来最没有技术含量的暗网网站,仅仅使用几个html页面来搭建,甚至有可能背后的诈骗分子不是英语母语。
暗网诈骗市场”CMarket”如何推广、存在时长、诈骗金额目前均尚不得而知,欢迎大家提供更多线索。某日,“暗网下/AWX”官方Telegram群组中某网友咨询该网站是否为诈骗网站,本站(anwangxia.com)根据该网友提供的暗网域名,尝试进行了访问探寻。
暗网诈骗市场”CMarket”的洋葱域名为:
http://cmarket2mkfnxbpjtd7moahl2vel3r7bbix2mibljappe4bmwzbejtad.onion
进入该诈骗网站,映入眼帘的是网站名称”CMarket”,由一张模糊的logo图片展示,下面一行小字写着全称“International Criminal Marketplace”。但是再下面的欢迎语是“Welcome to the information market !”,且网站title标签内的名称也是“Information Market”,让人有点懵,网站名称究竟是”CMarket”,还是“Information Market”,果然诈骗网站能够做到不拘一格取名称,鉴于其洋葱域名以cmarket打头,本站姑且称之为”CMarket”。
该诈骗网站首页的正文部门看起来是其销售的商品分类与介绍,但其实是诈骗网站的7个导航页面:
个人信息:出售个人信息。此类个人信息不仅包含个人数据,还涵盖其各类活动相关的信息。 与违法行为相关的个人信息:出售个人信息。此类个人信息不仅包含个人数据,还涵盖其各类活动相关的信息。 个人健康信息:完整的个人健康信息,包括临床信息、化验结果等。 政府文件:我们可提供政府文件副本及其他政府与非政府组织的文件副本 政府身份证件:我们出售各个国家/地区的身份证件副本,这些副本采用原件格式,并附有您的照片。 身份证件模板:我们出售各个国家/地区的空白身份证件模板。 信用卡信息 | 数据库:您可以使用这些信用卡在任何地方消费:实体店购物、网购及ATM机取款。 与“暗网下/AWX”多次曝光的最大中文暗网诈骗网站“联合中文担保交易集市”一样,这些分类一眼假,导航链接虽是php后缀,点开访问却是一个个的html页面,页面中写着商品介绍的话术,配上一个比特币地址。如出售个人信息页面的话术:个人的姓名、地址、电话号码、电子邮件地址、社交媒体账号;个人的家庭成员构成;个人的照片;个人的薪资、银行账户、财务详情;个人的财产信息;以该人名义注册的公司、基金会等信息;个人的教育或教育活动详情,例如所获学位或博士学位申请情况;个人是否为某个协会的成员或领导者,以及其出席会议的情况;个人是否为工会或专业机构的成员;个人在工作文件中出现的姓名。
经测试,对于每个访问者,要求转账的比特币地址均相同:3GN7dgj2eGNf2TcSftTFRTCZ9FTfUgk9Bx,经区块链上查询,该BTC地址仅有0.00006095 BTC的收入,诈骗成果似乎远远不及“联合中文担保交易集市”,不过也许可能之前更改过BTC地址。
该诈骗网站提示的购买步骤:“1. 将款项汇至以下比特币钱包地址(3GN7dgj2eGNf2TcSftTFRTCZ9FTfUgk9Bx);2. 将付款信息(精确金额及交易ID)发送至邮箱:[email protected];3. 付款后一小时内,我们将发送信息下载链接。若需补充信息,付款后48小时内您将收到该链接。”此购买步骤与“联合中文担保交易集市”相当雷同,消耗了暗网中根本不存在的交易信任。
网站的尾部又是一幅图,整体看来,该诈骗网站框架很简单,每个页面均是头尾各一幅图,分别是banner.png与desktop.png,中间内容是诈骗话术,由于没有动态内容,连最基本的用户交互都没有,所以此类网站一眼假,诈骗网站无疑。
“暗网下/AWX”再次提醒,没有一定的名声与信誉度,没有知名暗网网站(如Dread)做担保,直接要求转账比特币,此类网站均为诈骗网站。
更多暗网新闻动态,请关注“暗网下/AWX”。
Dread是全球最大的暗网论坛,于2018年2月上线,拥有成千上万名活跃用户。最近该暗网论坛遇到了两件糟心的事情,一是服务器故障导致论坛服务无法正常访问,二是其管理员在Reddit论坛发布一条带有PGP签名的宕机通知后,账号被Reddit封禁。
Dread论坛的管理员HugBunter在最大的明网论坛Reddit拥有一个账号hugbunt3r,用于发布Dread论坛相关通知事项,如离线、宕机、被DDoS攻击等状态。根据Sam Bent的报道,Reddit论坛近期封禁了HugBunter在Reddit的整个账号“hugbunt3r”,HugBunter将无法再在Reddit论坛发布有关Dread的任何信息。
[November 19th] Dread server outage
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 [November 19th, 2025] Hi! We have been down for many hours now, the servers are up and running, however I am experiencing an issue causing the main VM to crash. This means that, currently, the web server is not running and you won't be able to pass the captcha to access Dread. I am working on this issue and will be trying to avoid sleeping until it is back up and running.
“暗网下/AWX”曾经介绍,DarkForums是一个与BreachForums类似的暗网被盗数据交易论坛,在暗网与明网均可以访问,声称可以提供任何目标的多种类型数据。据观察,自从BreachForums销声匿迹后,DarkForums发展迅猛,已经拥有将近7.5万用户,逐渐取代BreachForums。
根据DarkForums对自己的宣传,其云端存储拥有来自欧洲、亚洲、非洲、美洲、澳大利亚等六大洲目标对象的各类数据,覆盖65+个国家,这些数据都是顶级品质,包括:
⭐️军事文件数据库 ⭐️企业完整数据库 ⭐️证件扫描件(身份证-驾照-护照) ⭐️消费者信息数据库 ⭐️电话号码数据库 ⭐️电子邮箱数据库 ⭐️外汇与加密货币数据库 ⭐️赌场及游戏数据库 ⭐️号码:密码 & 邮箱 & 用户名:密码 ⭐️公民身份号 & 社会安全号 & 税务号数据库 ⭐️大型网站数据库 ⭐️去哈希化数据及其他大型云端资源 DarkForums表示,其海量数据储备是未遭破坏的原始数据库,极度新鲜且私密,且支持用户自定义请求,有顶级品质保障。其全天候更新档案库,客服24/7全天候在线支持。
根据网站发布的套餐价格,1个月套餐售价200美元,3个月套餐售价为400美元,而终身套餐售价为1000美元,免费神级升级包含在3个月及终身套餐中。
DarkForums设置了三种类型的网站会员等级:VIP会员订阅价格为20欧元/999年,MVP会员订阅价格为40欧元/终身,GOD会员订阅价格为80欧元/终身。
根据公告,DarkForums提供的暗网V3域名为:http://qeei4m7a2tve6ityewnezvcnf647onsqbmdbmlcw4y5pr6uwwfwa35yd[.]onion
除了暗网地址外,该网站同步提供了几个明网镜像地址:
https://df[.]hn
https://df[.]kiwi
https://darkforums[.]st
此外,该网站还拥有域名https://darkforums[.]me,页面显示该域名的所有者为Knox,同时显示了DarkForums的暗网与明网域名,但未作跳转。
根据DarkForums的统计数据,该暗网数据泄露论坛已经拥有超过2.5万的主题帖,近25万的回复帖,近7.5万的注册用户,最多同时在线人数接近2万,可见其人气非常旺,但不知能够坚持几日。
DarkForums称其余自称新BreachForums的论坛都是虚假的 在FBI查封域名BreachForums.hn后,DarkForums发布警告称,虽然互联网上已出现多个冒牌或克隆网站,自称是“新BreachForums”,但它们与原版BreachForums团队毫无关联,都是为了欺骗、钓鱼或窃取用户数据。而DarkForums才是目前该领域唯一活跃且合法的主要社区。
对于本站(anwangxia.com)曾经报道的一个由BreachForums前管理员Koko创建的“新BreachForums”,DarkForums在Telegram频道表示,这个BreachForums克隆站也不是正规站点,Koko是个智障骗子,以过往成就为幌子行骗。他不仅诈骗了克隆论坛所有者SEPTEMBER,更在其自家论坛实施诈骗,如今更冒用SEPTEMBER等名义兜售论坛基础设施行骗。多名社区成员反映购买其论坛时遭遇欺诈,所以请务必警惕并远离这类无赖之徒。
某Telegram频道揭露的DarkForums管理员身份未得到权威证实 近期,有国内公众号号称某Telegram频道揭露了DarkForums管理员(Lucifer、Knox)的真实身份。根据号称”开盒“信息,此人为印度人,真实姓名为”Hritik Kumbhar“,来自印度奥里萨邦(Bhubaneswar, Odisha, India),系NIST大学计算机科学学士,现为初创公司InnovexPlus创始人,具备Linux、Python、网络安全等技术背景。
泄露内容极为详尽,包括”Hritik Kumbhar“的家庭住址(Bolangir, Odisha 767001)、手机号码(+916370174459)、常用设备(三星Z Fold6/7、尼康D7200相机)、学校(NIST University)、Linkedin个人页面(https://in.linkedin.com/in/hritik-kumbhar-980174354)、多个邮箱(如[email protected]、[email protected])及移动网络IP地址(136.233.58.227)等。
据“暗网下/AWX”综合各个权威网络安全威胁情报分析专家对DarkForums的分析,尚未证实”Hritik Kumbhar“是DarkForums管理员Knox,有待进一步的消息。
DarkForums后续如何发展,FBI会不会对其采取执法行动,“暗网下/AWX”将持续关注。
上个月,“暗网下/AWX”报道最大的中文暗网诈骗网站不仅更换了洋葱域名且再次更名,并预测其将在“双十一”到来前使用新的话术。果然不出所料,本月初,该中文暗网最大的诈骗网站发布了新的“双十一”诈骗话术。
本站(anwangxia.com)已经数次曝光这个最大的中文暗网诈骗网站,该诈骗网站现名为“联合中文担保交易集市”。曾经广为人知的名称是“正版中文担保交易市场”,后经本站不懈努力曝光后,改名为“华人自己的暗网担保交易市场”,当本站又曝光多次后,终于再次改名为现名称。
该诈骗网站每年在一些中国人的传统节日,如元旦、春节、端午、中秋、国庆、双十一等等,会推出一些新的诈骗话术,美其名曰“大促”、“回馈活动”、“答谢礼”……为的都是进一步骗取暗网小白的信任,从而乖乖给其转比特币。
随着2025年“双十一”的到来,该诈骗网站按照惯例推出了今年的“双十一”诈骗话术——“2025年双十一活动公告”:
活动时间:2025年11月01日0点-11月30日24点(北京时间)
活动细则:
活动一:无论新老用户,活动期内在本平台交易满3次,金额最大一次在1000美元以上者;或活动期间内进行了不低于10次交易,累计金额不低于300美元。即可获得400美元购物券,在购买1000美元以上任意商品时均可使用。购物券永久有效。
活动二:活动期内,凡交易金额满3000美元者,即可获得以100美元价格购买全新Iphone17 Max Pro 1T的资格,两个月内有效。或返现400美元到用户的平台钱包,没有使用限制。金融类虚拟类商品只计算该期间内金额最大的一次交易,实物类商品可以累计活动内交易金额。
首页大转盘优惠券与上述活动优惠可叠加使用。
感谢七年多以来新老用户的支持,祝大家购物愉快!
根据“暗网下/AWX”对该诈骗网站的研究,该诈骗网站本着能骗一个是一个的原则,话术的唯一目的就是敦促傻子来转账,所谓的“消费”、“交易”、“购买”、“返现”都是要先使用比特币转账,而转账之后,就不会再有下文,继续等下一个入瓮的小白。经过这些话术的加持,守株待兔的成功几率暴增。
通过提交支付系统,“暗网下/AWX”发现,该诈骗网站目前使用两种方法收取比特币,一是直接输出地址供小白用户转账,二是使用nowpayments(nowpayments.io)的支付网关,而不再是前期使用的blockonomics(blockonomics.co)、coinbase(coinbase.com),是否因为被受害者举报而被这些平台取消服务,目前不得而知。希望被骗的受害者继续向nowpayments举报该诈骗网站的诈骗行为,从而也能取消服务。
随着本站的再次曝光,“联合中文担保交易集市”未来是否会继续更换域名或者名称,“暗网下/AWX”将继续跟进关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
随着FBI的公告宣布查封BreachForums域名,“暗网下/AWX”报道称BreachForums时代已经终结,然而FBI又被打脸,臭名昭著的暗网数据泄露论坛BreachForums再次出现,与前几个版本类似,在明网与暗网均可访问,由老版本BreachForums论坛管理员“koko”启动,且冒天下之大不韪使用泰国、赞比亚等国家警方的邮箱发送欢迎邮件。
长期以来,BreachForums一直是数据泄露、黑客工具和非法交易的中心,在一系列国际联合执法部门的打击中,陆续由多个版本出现,被打击后又消亡,并在今年上半年彻底被摧毁。然而,仅仅几个月后,它又重新启动,既说明了此类论坛的受欢迎程度高,也表明了网络犯罪论坛的顽强生命力。
新版本BreachForums论坛是由老版本BreachForums论坛版主“koko”创建的,他在一篇置顶帖中声称,他在2023至2024年期间担任BreachForums版主,经过团队慎重商议,决定让BreachForums重启。目前核心功能已通过最近的备份完全恢复。用户可以再次浏览专门讨论被盗凭证、勒索软件讨论和零日漏洞的版块。“Koko”强调,新版本BreachForums论坛“比以往任何时候都更加强大”,并增强了匿名功能以逃避检测。
新版本BreachForums并没有直接延续旧的版本 “koko”称,对暗网社区而言,过去一年充满挑战,但他们已重整旗鼓,准备重建家园!然而,新版本BreachForums并非旧版本的延续,而又是全新的开始,但界面继承了老版本的界面,且“koko”表示核心功能已从备份中恢复,团队正在从头开始重建托管服务,以解决前期存在的网站漏洞。
“我们从错误中吸取了教训,”Koko写道,并承诺改进加密和多重签名钱包,以防止未来发生盗窃。
新版本BreachForums使用了新的暗网V3域名:
http://ujdswnhjybusy2i4vcsfpkezrtg27glkxu3t5b4ttszhxyqaz3gpkbyd[.]onion
除了可以通过暗网浏览,新版本BreachForums也支持在一个新的明网域名访问,这旨在吸引更广泛的受众,包括那些不太懂技术、不愿使用Tor网络的网络犯罪分子。
新版本BreachForums论坛提供了几项重要更新:
备份与功能:已完成所有核心功能的完整备份,确保系统运行顺畅无碍。未来用户将获得无缝体验。 托管系统:托管系统正在从零重建。旧系统曾多次遭各类机构入侵,且无人知晓有多少代理曾访问数据库。为保障安全可靠性,将采用全新更安全的系统。 用户名安全:强烈建议勿使用旧用户名。此举将危及您的操作安全。请创建全新身份以保障安全。 等级恢复:凡在BF历代版本(BFv1、BFv2、BFv3…)中拥有等级的用户,将予以恢复。请联系@koko提交恢复申请。 尽管“koko”持乐观态度,但他也表示,许多人目前仍对论坛部门运营人员表示怀疑。许多论坛老手怀疑新版本BreachForums可能是执法部门故意设置控的蜜罐。一位匿名发帖者评论道:“这太干净、太快了”,他担心美国联邦调查局或特勤局等机构可能会监视活动以建立案件。
网络安全专家敦促任何访问该网站的人都要谨慎。“ BreachForums一直是一把双刃剑,它既能为研究人员提供宝贵的情报,又能吸引真正的威胁。”一家领先安全公司的威胁分析师John Doe说道。
明网域名可能使用加密货币注册 新版本BreachForums的明网域名是breached[.]sh,.sh域名是圣赫勒拿岛(Saint Helena)、亚森欣和特里斯坦-达库尼亚群岛的的国家代码顶级域名(ccTLD),该域名注册商为“NICENIC INTERNATIONAL GROUP CO., LIMITED”。NiceNIC是一家总部位于香港的网络服务公司,以其品牌NiceNIC.NET运营,是ICANN认证的域名注册商。
根据whois信息,breached[.]sh域名注册于2025年10月15日,使用了ddos-guard.net的解析服务,应是为了保证网站的安全性。域名使用了whois保护,因此无法查询域名注册时填写的注册者与管理员信息。
虽然Recorded Future等网络安全公司已发出警告,指出当局更容易通过IP日志和托管服务提供商追踪明网域名。
不过由于NiceNIC是一家拥抱加密的公司,该服务商支持多种加密货币支付,包括比特币(Bitcoin), 泰达币(Tether USDT),以太坊(ETH), 莱特币(LTC),门罗币(XMR)。因此,新版本BreachForums明网域名breached[.]sh背后真实的注册者信息估计非常难以追踪。
新版本BreachForums论坛通过使用泰国、赞比亚等多国警方的被盗邮箱传播 据多家威胁情报机构表示,新版本论坛涉嫌滥用泰国警方官方邮箱域名(police.go.th)、赞比亚警察局官方邮箱域名(zambiapolice.org.zm)开展宣传推广活动。而发送邮件的警方邮箱大多都是在各种数据泄露事件中的泄露的。
新版本论坛的管理员似乎正利用被盗的执法机构邮箱账户,绕过垃圾邮件过滤器和安全检查,使宣传信息显得更具合法性,也体现其自身的权威性,从而增强目标推广对象的信任感,使新版本BreachForums论坛呈现真实可信的表象。
新版本BreachForums论坛已经在打包出售 新版本BreachForums论坛创始人“koko”发布置顶帖子公告,称其正在寻找新的所有者,出售新版本BreachForums论坛,他们将向其转让所有权,整体售价仅为5000美元。
购买成功的新所有者将获得:
基础设施的完整访问权限(6台服务器) 域名 CDN DDOS防护 代理服务器 被扣押的旧数据库(30万+用户) 托管交易数据库(含32,000余笔托管交易) “koko”在帖子中提供了用于交易谈判的加密即时聊天工具Session的联系码,并要求新所有者须具备管理该职位及全套基础设施的能力,且要延续BreachForums现有运营理念。
周末,Scattered LAPSUS$ Hunters团伙的暗网洋葱网站突然显示了被FBI查封的图片,图片与其明网网站Breachforums[.]hn本月上旬被FBI查封后展示的图片相同。如果属实,则证明该团伙的暗网基础设施也已经被FBI扣押,服务器与数据库以及文件均被执法机构掌握。但目前业界普遍认为这是Scattered LAPSUS$ Hunters团伙自导自演的恶作剧。
回顾FBI设置的Breachforums[.]hn被扣押页面源码(省略图片的data信息与javascript引用信息):
<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=windows-1252"> <title>This Domain Has Been Seized</title> </head> <body style="background-color: black;"> <p><img border="0" alt="This domain has been seized." src="data:image/png;base64,……"(省略data信息) width="auto" height="100%" style="display: block; object-fit: contain; margin-left: auto; margin-right: auto";/p> </body> </html> 目前洋葱域名展示的被扣押页面源码:
<html lang="en"><head> <meta charset="UTF-8"> <title>Seized</title> <style> html, body { margin: 0; padding: 0; height: 100%; background-color: black; } body { display: flex; justify-content: center; align-items: center; } img { max-width: 100%; max-height: 100%; object-fit: contain; } </style> </head> <body> <img src="
“正版中文担保交易市场”是最大的中文暗网诈骗网站,在本站曝光过9次后,这个诈骗网站依旧在运营。g每一次曝光后,该诈骗网站更换一次暗网洋葱域名,并在去年年初将网站名称更改为”华人自己的暗网担保交易市场“。近期有网友提醒,“暗网下/AWX”今年的曝光,促使这个诈骗网站再再次更改了网站名称与洋葱域名。
“正版中文担保交易市场”这个中文暗网圈最大的暗网诈骗网站最新的网站名称为“联合中文担保交易集市”,副标题是“一个小高端中文类淘宝安全买卖平台”。分析该诈骗网站的三个名称:“正版中文担保交易市场”、”华人自己的暗网担保交易市场“、“联合中文担保交易集市”,可见,只要在暗网里看到名称中含有“担保”的中文网站,无论叫什么名称,不管用什么洋葱域名,必定是诈骗网站无疑。
“暗网下/AWX”多次科普,在暗网中生成一个洋葱域名只需要1毫秒,且无任何成本,因此本站(anwnagxia.com)每次曝光后,该诈骗网站均会更换一个新的洋葱域名。诈骗网站“正版中文担保交易市场”最新更换的暗网V3域名为:
http://qlm6tc2bfkfjhdoacgew6qdrqolie6352n2xek6ey5voi3gyx5cbhdad.onion
此外还有一个暗网V3域名跳转至上述域名:
http://dlzxg7eygo5ld5vsmsjzdlnxwvqcy3acicftkyyca4pyx6t7wirpw4qd.onion
上次本站曝光的暗网V3域名已经不再使用,目前无法访问:
http://ttal23727crynfjdxjhdcrxbeu7m4iup545fmvhf4pzquxleuzqu5did.onion
该暗网诈骗网站就是一个用Wordpress搭建的微博客,网站打开出来的所有店铺:暗网网站搭建服务、盗刷Carding合作服务、支付宝安全转账、英国一手卡料出售CVV、华为系列产品专卖店、IPHONE手机低价批发店、超低价格卖BTC钱包等等都是一些假的发布页面,只要支付,比特币即被诈骗走,用户得不到任何响应,没有物品、没有服务,纯粹的诈骗。
目前网站的logo图片居然写着“胸怀爱国心”,是否意味着骗子有“国之大者”的爱国情怀,还是“中国人只骗中国人”的爱国情怀。
今年5月份,该诈骗网站发布了“七周年庆回馈活动”的诈骗话术:
又到了本站周年庆活动,老朋友们是不是很期待?七周年了,这七年来我们经历了很多,也认识了许多用户朋友,总之很感谢大家的一路跟随与支持。
老规矩,以下就是七周年庆典活动的方案,新老朋友按照自己的情况去狂欢吧!
1、 单笔交易达到2300美元(含)以上者,可返现交易金额的8%。符合条件者请在交易后48小时内发送交易的单号以及打币的TXID/Hash这两项内容到admincn的站内信,你可以用A账号购买用A账号发信,或者用B账号发信,甚至不注册账号完全匿名购买都可以,只要提供以上两项,核实后就会在48小时内充值入平台钱包。不注册就交易的如果要获得返现就注册一个账号来发信吧,返现只奖励到平台钱包内,没注册是没有平台钱包的。 提供TXID就能确认你是你。新老用户共享此条。
2、活动期间内累计交易10000美元(含)以上,返现累计总金额的6%。此奖励不与第1条重复奖励,如果领取过单次交易奖励的交易,将不能计算到累计交易金额之内。申请奖励方法与第1条相同,请最晚在活动期结束后48小时内发送申请信息给admincn。 新老用户共享此条。
3、本次活动作为七周年庆典回馈,将与幸运大转盘同时进行,折扣码、返现同时进行,可叠加使用。
4、凡是注册时间超过一年(北京时间2024年5月10日前注册)的用户,满足单笔最大交易达到$500以上且交易次数在三笔以上者,可来信联系admincn获得在本站苹果手机店铺只购买一台手机的权限。一般情况下该店手机是不零售的。
5、活动起始时间为本文字公告之日,结束时间为本文字不再置顶。
6、无论你是陪伴我们走过几年时间的老朋友,还是刚接触的新用户,我们都祝愿在往后的日子里你能越走越顺,心想事成。
马上双十一、双十二即将到来,预计该诈骗网站又将使用新的话术,一旦新的诈骗话术发布出来,“暗网下/AWX”将立即发文提醒。
经分析,该诈骗网站每个月都有数比诈骗收入进账,希望本站的预警能够挽救更多天真的小白。再次预警,希望诸位暗网达人谨记,暗网里没有能占的便宜,访问暗网的结局是人才两空:人被抓走,钱被骗走!
更多暗网新闻动态,请关注“暗网下/AWX”。
多次承诺要如期公布,并且暗网网站在倒计时,时间到了怎能不公布,Scattered LAPSUS$ Hunters勒索软件团伙给大家示范了什么才能做到“既当又立”,10日至11日,该团伙磨磨唧唧地泄露了6名受害者的数据,并且同步在叫嚣与威胁。
10月10日,Scattered LAPSUS$ Hunters勒索软件团伙在Telegram发布公告,称其自动化系统将首先在美东时间晚上11点59分泄露澳洲航空有限公司的数据库。此前已有数家公司因拒绝支付费用而遭泄露——因此短暂停歇数分钟,是让澳大利亚民众有时间消化这份恐惧、创伤与愧疚:他们的政府选择守护自身虚荣与尊严,而非保护公民安全。
10月10日,该团伙继续称,实在不忍心让数千甚至更多等待泄密消息的人失望——这些消息本就迫在眉睫,于是该团伙正在重新筛选即将被曝光的企业名单。由于团队半数成员此刻正酣睡在床上,又由于几分钟前上级突然标记了某些事项,未经批准无法继续推进工作。基于此,我们决定采取最佳方案:将泄密时间稍作延后。相关企业数据仍将如期于10月11日曝光。
10月11日,该团伙终于公布了其中6家受害公司的数据:
albertsons.com gap.com engieresources.com fujifilm.com qantas.com vietnamairlines.com 虽然有很多人都在问还会泄露什么,但该团伙表示他们不会再有其他泄露了。所有该泄露的都泄露了,没有其他东西可泄露,而且显然他们掌握的东西出于显而易见的原因不能泄露。
此外,该团伙称,由于洋葱网络正承受着海量流量的压力,暗网数据泄露网站现已同步开放至明网:https://shinyhunte[.]rs,“暗网下/AWX”认为该域名估计不久将会被FBI查封。
Scattered Lapsus$ Hunters称将推出公开勒索即服务项目 Scattered Lapsus$ Hunters团伙称,在下周一或下周某个时间,该团伙将推出首款专属的公开勒索即服务(EaaS)项目。运作模式类似勒索软件即服务(RaaS),但不包含锁定/加密功能。他们将为此设立专属门户,并提供参与该服务的操作指南。
该团伙表示,危机管理风险公司/顾问机构,或受害者聘请的谈判专家,通常希望确认对话对象身份,以此通过行为主体的过往记录建立信任与信誉。该计划的核心优势在于:黑客可借用该团伙的名义实施勒索,相较于匿名操作或使用毫无信誉/声誉/信任/历史背景的虚假身份,成功率将显著提升。
该团伙透露,EaaS项目的更多细节将很快公布。
Scattered Lapsus$ Hunters为其勒索攻击做总结并宣称将重点针对五个国家 Scattered Lapsus$ Hunters团伙在Telegram为持续一年的行动进行了小结。其表示,这应成为全球所有政府的警示——一旦遭遇数据泄露,赎金索求便会接踵而至。而最明智的选择是“服从我们,与我们协商解决方案”。
该团伙表示,他们不想再听什么“我们不与[恐怖分子]谈判”的废话。他们不是恐怖分子,只是在维护市场稳定——这是特朗普总统与狗狗币领袖马斯克赋予他们的使命。
该团伙特别警告澳大利亚称真心希望澳洲这次能吸取教训,称几年前其和Shanty摧毁Optus时,就给过澳大利亚多次配合的机会。该团伙要求澳大利亚政府请废除或彻底改革澳大利亚联邦警察局,称澳大利亚警方充斥着傲慢与自负,澳大利亚政府本身亦是如此,要求他们修改法律,调整政策,做出改变。
该团伙威胁称,他们将持续攻击澳大利亚直至澳大利亚重写规则,改变政府之前的决定,放下傲慢自负,未来配合谈判,与其合作。
该团伙针对全球其他政府称:“你们绝不可能阻止我们”,并表示的重点目标始终不变,那就是美国、英国、加拿大、澳大利亚、法国。该团伙警告加拿大说,你们这次没被列入打击目标,真是走运,下次就轮到你们了。
该团伙挑衅联邦调查局称FBI平庸至极,且在做无用功:
请停止浪费资源和资金去查封毫无价值的明网网站breachforums.hn,你们查封它得到了什么?说真的?一无所获。你们只是想吓跑我们吗?显然没成功。你们政府已经停摆,你们却忙着在网上追捕APT青少年。回家吧,辞职吧,退休吧,做点正事。ShinyHunters的名言:“FBI平庸至极”。没错,你们就是这般水平。
该团伙嘲笑Mandiant/GTIG技术拉跨,且一直被打脸:
你们在识别我们UNC6040行动时表现得最烂——拖了近一年才发现,那时所有数据早已泄露。对我们UNC6395行动的追踪勉强及格,但终究平庸至极,毫无价值。奥斯汀·拉森(Austin Larsen),你这个LGBTQ垃圾,滚蛋去当个同性恋吧,蠢货。最后警告Mandiant:别再主动找我们打脸了,因为当我们狠狠扇你耳光时,那滋味他妈的痛彻心扉。相信我,你绝对不想尝到那种滋味。我们能像搞垮捷豹路虎那样锁死整个谷歌云,让你们六七周进不来。别惹我们,去调查中国或Cl0p(又名Sl0p SaaR)吧。
该团伙称,那些配合他们的企业心知肚明,他们做出了正确抉择,在此致谢;至于其他那些公然决定不配合他们、拒绝保护客户权益的公司,只要他们存在,他们面临的威胁非但不会减轻,只会与日俱增。该团伙恐吓道,这次不付钱也行,但当他们卷土重来,像对待捷豹路虎那样停摆这些公司的生产线时,这些公司就只能听天由命了。
该团伙忠告Salesforce总部称:
请放下你们的傲慢与自负,我们将发起更具破坏性的行动,届时希望你们能改变主意。无论耗时多久,我们拥有无限的资金、资源、人力支持和后盾,足以永无止境地开展此类行动。 我们本可采取更恶劣手段,但选择保持简单直接。
该团伙“强烈建议并全力鼓励所有人持续攻击那些拒绝向网络攻击者支付赎金的国家(如澳大利亚),因为这种行为只会助长恶性循环”。该团伙表示,像他们这样经年累月建立信誉的团队不会这么做,他们既非网络攻击者亦非“恐怖分子”,而只是商人,做完生意便转身离去。
最后,该团伙表示,此刻起,全球所有企业都应默认将其视为真实威胁——对你个人、对你的公司、对关键基础设施、对国际安全构成威胁,因为他们永不停歇:“2026年再会”。
澳洲航空旅客信息及餐食选择等570万条记录遭泄露 澳洲航空表示,由于云软件公司Salesforce拒绝向Scattered Lapsus$ Hunters支付赎金,其570万条客户记录在暗网上泄露。
Salesforce排除了向Scattered Lapsus$ Hunters支付赎金或进行谈判的可能性,而澳洲航空周日证实,570万客户的数据已被泄露。
澳航表示,大多数客户记录仅限于姓名、电子邮件地址和飞行常客详细信息。一小部分信息还包括公司或家庭住址、出生日期、电话号码、性别和膳食偏好。
Scattered Lapsus$ Hunters继续威胁澳大利亚与挑衅美国FBI Scattered Lapsus$ Hunters勒索软件团伙口嗨的能力很强,一直在其Telegram频道大放厥词,该团伙发布消息威胁澳大利亚称:
我定要将你们国家炸得稀巴烂。澳大利亚向来以无能和无关紧要著称。
你们所谓的“追捕”、“搜寻”和“消灭”我们,根本是痴人说梦。清醒点吧,你们政府顶多能跑去向头号盟友美国哭诉,请求协助处理那些远远超出澳大利亚政府能力范围的事务。
去你妈的!
该团伙发布消息挑衅FBI称:
鉴于联邦调查局企图抹杀我们历史遗产的特殊情况,我们特此决定暂时放弃沉寂,即刻予以反击。此刻我们将再度消散于虚空。晚安。
Scattered Lapsus$ Hunters团伙能做出什么惊天举动与反击,“暗网下/AWX”将继续拭目以待。