独家报道

Nucleus Market曾经是一个臭名昭著的暗网交易市场，作为Tor网络内的一项隐藏服务运行，为非法物品（如非法毒品、武器和假币）的销售交易提供便利。该暗网市场顶峰的时候拥有18000个商品，其中超过11000个商品是毒品和毒品相关物品。 与许多其他暗网市场一样，虽然接受比特币、莱特币、达世币，但当年Nucleus Market上的交易主要以比特币进行，因为这种加密货币更难追踪，因此为从事此类违法活动的人提供了一定程度的匿名性。 Nucleus Market当年的暗网V2域名地址是：http://nucleuspf3izq7o6.onion/ 2015年3月，在其竞争对手Evolution Market倒闭后，Nucleus Market一跃成为仅次于Agora Market的第二大暗网市场。然而，2016年4月，Nucleus突然下线，事先未通知，引发了对其消失原因的猜测。尽管官方关于其关闭的说法是遭到黑客攻击，但阴谋论四起。 突然的关闭引发了人们对其关闭原因的讨论，一般而言暗网市场关闭尤其仅有2种可能：退出骗局——管理员卷走用户的资金潜逃，亦或是，执法部门的打击与查封。到现在为止，Evolution Market倒闭的确切原因尚不清楚，但是”暗网下/AWX“基本确认是退出骗局，即管理员卷走用户的加密资金。 Nucleus Market的比特币钱包在九年后被重新启用 据Arkham Intelligence称，一个与暗网市场Nucleus Market相关的加密货币钱包在九年后苏醒，该钱包中持有超过4亿美元的比特币。3月7日，该钱包背后的主人将价值7750万美元的比特币转移到3个新地址，而主钱包中只剩下3.65亿美元。 ANCIENT DARKNET MARKET WAKES UP AFTER 9 YEARS WITH OVER $400M $BTC Wallets belonging to Nucleus Marketplace woke up this morning after 9 years of inactivity, transferring $77.5M worth of Bitcoin to 3 new wallets. Nucleus Marketplace wallets still hold $365M BTC. New addresses:… pic.twitter.com/JtPXBK8Aec — Arkham (@arkham) March 7, 2025 自2016年4月该暗网交易市场关闭以来，该钱包一直处于闲置状态，其中有5000枚比特币是供应商和客户的存款。根据Arkham的追踪器，当时这些资金价值约为210万美元。

2月21日，45岁的卡什·帕特尔（Kash Patel）宣誓就任令人垂涎的局长职位，目前他是FBI约38,000名员工的负责人，其中包括10,000多名特工和遍布全球的60多个办事处和分支机构。 几天后，俄罗斯背景的暗网勒索软件团伙LockBit向新任FBI局长帕特尔留言称提供所谓的“机密信息”，并声称这些信息一旦公开，可能会“摧毁”该机构。 这个公开的博文是在2月25日通过LockBit的暗网博客（暗网泄密网站）发布的，伪装成一封贺信，然后试图让新任FBI局长帕特尔与FBI的员工对立起来。网络安全研究媒体vx-underground在X上报道了LockBit发布的博文。 Today Lockbit ransomware group issued a message to Kash Patel, the new Director of the United States Federal Bureau of Investigation. He requested Kash Patel contact him via Tox and offered him a file titled "personal_gift_for_new_director_FBI_Kash_Patel.7z". The file is… — vx-underground (@vxunderground) February 26, 2025 “亲爱的卡什·帕特尔！祝你生日快乐！我也祝贺你担任联邦调查局的第九任局长，并祝你事业成功，因为这对你来说并不容易，”博文开头写道。“你周围都是骗子、职业操纵者，尊敬的卡什·帕特尔。你手下的所谓“特工”都是狡猾的操纵者，他们操纵你的目的就是让你无所作为，但你必须有所作为，卡什·帕特尔先生。” 该博文进一步解释，虽然LockBit经常被称为“敲诈者”和“勒索者”，但自己其实是“美国祖国的杰出儿子”，并声称LockBit的勒索软件行动实际上是为了加强美国国家安全而建立的，而国际执法部门却将其描述为“世界上最具危害性的网络犯罪集团”。 ”我的生意，我已经缴纳了很多税，我创建的目的只是为了让我们所有人，在我们的美利坚合众国，成为一个更安全的居住地。“ ”我是一个诚实的商人，向美国财政部缴纳了那么多的税款，却从未退过税，而是让黑人帮我退税。“ 在将自己描述为“诚实的商人”之后，作者继续指责联邦调查局是“真正的威胁”。 博文继续写道：“这些真正的敲诈者、骗子、勒索者、操纵者，也就是你们所熟知的下属——联邦调查局特工，他们用假货充斥着我们的国家，并宣称我是一个威胁。“ 最值得注意的是，该博文最后试图引诱帕特尔直接联系LockBit，并承诺向他提供一份为他个人准备的“机密信息档案”，据称该档案将揭露联邦调查局内部的腐败行为。 “我决定给你最好的礼物——一份机密信息档案，供你个人使用，卡什·帕特尔先生，”博文写道。“一份指南、一份路线图和一些友好的建议。只有您才能访问，密码是有限的。这些信息是为了美国国家安全，为您提供如何找到真相的信息，我们的兄弟美国总统唐纳德·特朗普也想找到真相。” 作者将所谓的机密数据描述为“对抗谎言的关键，对抗虚假的良药”，然后要求帕特尔与其取得联系。 “请亲自联系我，我非常不愿意公布这些信息，因为这不仅会对FBI的声誉产生负面影响，还会破坏其结构，”作者补充道。“因为我真的希望您，尊敬的卡什·帕特尔，不仅是FBI的局长，而且也是FBI历史博物馆的馆长。让您讲述我们的故事——我们如何打败虚伪和腐败的FBI特工。” 这番言论似乎针对的是帕特尔去年的言论，当时他表示，他将“在第一天”关闭联邦调查局总部，并将其变成“深层政府博物馆”。 在博文最后，LockBit提供了联系方式——一串Tox的ID：3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D14E41080A105，以便帕特尔与其联系。 LockBit称：“请亲自联系我，我非常不愿意发布这些信息，因为这不仅会对FBI的声誉产生负面影响，还会破坏它的结构。” 在该博文下面，LockBit勒索软件团伙已公开提供下载名为“personal_gift_for_new_director_FBI_Kash_Patel.7z”的文件，大小约2.06MB。由于该文件收到受密码保护，”暗网下/AWX“暂时看到其内容。 网络安全分析师Dominic Alvieri一直在追踪LockBit等勒索软件团伙，他表示，该团伙在美国和英国等国机构的国际联合执法行动后于2024年2月被瓦解，现在该团伙只不过是想引起关注，然后重建。 Alvieri表示：“目前LockBit提供的任何信息要么是公开数据，要么就是彻头彻尾的虚假声明。”目前还不清楚LockbBit拥有哪些机密数据，而帕特尔作为FBI局长似乎也无法访问这些数据。 LockBit长期以来一直是网络犯罪领域的主要参与者，采用勒索软件即服务 (RaaS) 模式运营，其中附属机构（通常是独立黑客）部署恶意软件以换取部分赎金。

在早些年，信用卡欺诈论坛是网络犯罪最活跃的聚集地，向任何有钱人出售打包的被盗信用卡数据。但那只是过去的事情了，现在出现的最多的是在暗网上发现被盗密码和账户凭证、钓鱼漏洞工具包和恶意软件即服务平台等交易。 但这并不是说信用卡欺诈已经消失，“暗网下/AWX”近日获悉，一个名为B1ack’s Stash的暗网论坛刚刚免费赠送了100多万张被盗信用卡。专家推测，B1ack’s Stash论坛将免费发放卡片作为一种营销策略，决定发放免费样品旨在吸引新客户并在网络犯罪生态系统中获得知名度。 暗网论坛上免费发放被盗信用卡 D3Lab威胁情报主管Andrea Draghetti在2月21日发布的一份报告中透露，一家名为B1ack’s Stash的知名非法暗网市场和信用卡欺诈网站向其用户免费赠送了超过100万张被盗信用卡。该论坛管理员在一篇主题帖中宣布了本次数据泄露事件，声称泄露了一批由400万张免费信用卡组成的数据。 2月19日，暗网论坛B1ack’s Stash上发布了“包含超过100万张独特信用卡和借记卡的大量敏感数据”，实际上传了6个档案，共包含1,018,014张信用卡数据，其中，192,174张由欧洲金融机构发行。 据了解，这些信用卡数据包括高度敏感的信息，例如相关信用卡的主PAN（主账号）、到期日期、信用卡验证值CVV2以及安全码。但这还不是全部；还有持卡人的详细信息，例如他们的全名、地址、出生日期和电话号码以及电子邮件地址。该数据包含了几乎所有进行信用卡欺诈或针对持卡人发起网络钓鱼攻击所需的信息。 信用卡信息被盗用并被用作营销工具 “分析表明，这些数据很可能是使用网络窃取技术窃取的，”Draghetti表示，“这种方法涉及将恶意JavaScript代码插入受感染的电子商务支付页面，实时拦截用户输入的敏感数据。”被盗卡本身按类型（信用卡或借记卡）进行组织，并根据发卡银行和原产国进行进一步索引。“转储还包括磁条数据，允许犯罪分子创建物理卡克隆，”Draghetti警告说。 报告总结道：“网络盗窃仍然是电子商务平台和信用卡持有者面临的最普遍的威胁之一。” 这并不是犯罪企业第一次以这种方式传播被盗数据。“暗网下/AWX”曾经报道，被盗信用卡交易网站BidenCash之前曾使用过此类促销活动，向更广泛的犯罪受众推广该暗网市场。 因此人们普遍认为，这次发布信用卡数据，是为了吸引新用户加入B1ack’s Stash犯罪论坛。“在最初的免费发布之后，”Draghetti说，“还有更多的信用卡可供购买，每张售价通常约为25美元。” 地下信用卡交易市场正在茁壮发展 地下信用卡交易市场是网络犯罪生态系统的重要组成部分，它们为支付卡数据的买卖提供便利。曾经最受欢迎的信用卡交易网站之一是Joker Stash，其运营者选择于2021年2月退休，关闭了服务器并销毁了备份。报道称，Joker Stash的管理员通过其犯罪活动积累了价值10亿美元的比特币。 其后，信用卡欺诈网站如”Ferum Shop“、”UAS“和”Trump Dump“等在地下暗网市场中逐渐流行起来。 “BidenCash”于2022年4月推出，被认为是一家低调的信用卡商店。本站（anwangxia.com）多次报道，其运营者定期免费发布新鲜转储和促销批次的能力迅速提高了它的知名度。 2022年6月， BidenCash在一个网络犯罪论坛上发布了2019年至2022年期间超过790万张支付卡数据。然而，这些数据仅包含6581条泄露信用卡号的记录。

Dread是暗网最大的英文论坛，也是暗网最大最活跃的论坛，也是暗网存活时间较长的论坛。2月15日，Dread管理员HugBunter发布带有PGP签名的公告，庆祝Dread论坛的7周岁生日。 “暗网下/AWX”多次介绍，Dread是一个类似Reddit的暗网论坛，主要发布有关暗网市场的新闻和讨论。该暗网论坛由HugBunter于2018年初开发，并于2018年2月15日推出，长期以来，该论坛有2名管理员，分别使用化名Paris和HugBunter。Dread论坛参考Reddit样式进行开发，并在开发时充分考虑了隐私性和可用性。任何用户都可以申请创建自己的子版块，从而成为版主；版主控制允许发布哪些类型的帖子，如果他们认为用户违反了规则，他们可以禁止他们访问自己的版块。 Dread论坛的暗网V3地址是： http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion HugBunter发布的公告标题为“Dread生日快乐！整整七年！”，在公告中，该管理员表示，简直不敢相信，7年过去了，Dread仍然坚挺地站在这里。从他开发的一个小项目开始，Dread论坛成为了有史以来最大的暗网论坛，虽然前几年Dread经历了重重困难，但依旧能继续为暗网社区提供重要的服务。 HugBunter在公告中感谢所有Dread的工作人员、子论坛版主和用户，称是大家的支持让Dread论坛在每年面临最困难的问题时仍能保持正常运转。 HugBunter称，这篇公告写得很短，因为他比较忙，本来有很多计划要完成，但被本周的服务器问题和其他事情耽搁了。HugBunter请大家拭目以待，表示接下来会有很多令人兴奋的事情发生，这些事情将极大地改善这个平台，这将是其多年来所做的最大一次更新，将涵盖大家所关心的很多问题，对论坛质量的改善将是巨大的。 HugBunter最后再次感谢所有人的努力，让这个平台有了今天，感谢用户一直以来的支持，并提醒大家“注意安全”！ Dread论坛深受暗网网民欢迎最大的原因是Tor网络的匿名性，许多热门子版块都涉及非法或其他有争议的话题，网络犯罪分子确实会在某些子版块中讨论他们的活动。但Dread论坛其实也有许多无害的子版块，比如关于如何从事金融投资的子版块，还比如关于流行视频游戏的子版块。正如本站（anwangxia.com）总结，Dread暗网论坛是一个基于Tor网络的真正言论自由的平台。 HugBunter在公告中提到的重重困难，大概是指，在2022年到2023年期间，网络黑客利用Tor协议漏洞，针对Dread论坛和其他暗网市场发起了大规模拒绝服务攻击（DDoS），当时“暗网下/AWX”持续进行了跟进，并多次报道了Dread论坛的关站以及升级防护的措施直至成功回归。Dread论坛经过重新开发，变得更加稳定，主界面和UI完全重新设计，提供了更大的灵活性，于是深受暗网用户的欢迎。 在公告的回复中，许多用户都在庆祝Dread的7周岁生日，祝福Dread可以继续服务更多年，同时感谢管理员Paris和HugBunter的努力，希望再接再厉。对于Dread未来的发展，“暗网下/AWX”将继续关注。 更多暗网新闻动态，请关注“暗网下/AWX”。

尽管本站（anwangxia.com）在2024年底再再再次曝光了中文暗网里最恶名昭彰的诈骗网站——“华人自己的暗网担保交易市场”，然而在春节期间又又又有数人被其诈骗。经“暗网下/AWX”再次确认，该暗网诈骗网站最新使用了蛇年春节的新话术，于是又成功诈骗了多起。 多年来，针对该诈骗网站，“暗网下/AWX”已经曝光过8次，该暗网诈骗网站的曾用名是：“正版中文担保交易市场”，后由于被本站多次曝光，改成新名称：“华人自己的暗网担保交易市场”。 诈骗网站“华人自己的暗网担保交易市场”近期没有更换域名，依旧使用上次本站曝光的暗网V3域名： http://ttal23727crynfjdxjhdcrxbeu7m4iup545fmvhf4pzquxleuzqu5did.onion “暗网下/AWX”曾多次预警，该暗网诈骗网站的提供的所有品目：“百万美元（视频认证）”、“支付宝安全转账”、“英国一手卡料出售CVV”、“超低价格卖BTC钱包”、“IPHONE手机低价批发店”、“华为系列产品专卖店”等等都是管理员自己添加的虚假商品，所有项目都是假的，所有的商品评价也都是管理员自己添加的，均是假的。只有傻乎傻乎相信该诈骗网站的受害者才是真的，一旦转了账，BTC不可能被追回来。 网友“Sim Haha”在“暗网下/AWX”的官方Telegram群组里询问该网站是否是假的，并表示已经充了30USD交了学费，幻想其会发货，立即有热心群友告诉他这是诈骗网站，已经存在好多年了。此外，有网友“Rich Man”在Facebook中咨询，被“华人自己的暗网担保交易市场”诈骗了，是否可以把钱追回来。 在这里，“暗网下/AWX”再次明确一下，骗子是不可能主动退钱的，哪怕被警方逮捕，因此转出的钱没有找回。但是，可以通过向API接口提供方进行举报的方法来举报该骗子，骗子使用了两个网站的收款接口服务：Blockonomics、Coinbase。 为什么该诈骗网站从元旦到过年期间的成功率比较高？ 网友们在群里称，该网站近期的话术又有了新的升级。骗子添加了时间从2024年12月22日到2025年1月10日的一系列话术：“第一场群聊会情况展示”、“卖家在线群聊会第2场（支付宝转账alitransfer）”、“卖家在线群聊会第2期截图展示”、“卖家群聊会第3场（Btc高价收购Btcbuyer）”、“第4场群聊会（3天赚15%BTC的oakmont）”、“群聊会第4场截图展示”、“群聊会第5场Iphonesale(iphone批发店)”、“卖家群聊会第6场（BTC交易所转账nikoqian）”，非常逼真的8篇话术，让受害者以为这是官方搞的真实活动，增加了信任度。 骗子精心设计了虚假的聊天截图，明眼人看来一眼识别出诈骗，这么粗陋的手法却蒙蔽了很多人的双眼： 并且过年前，该诈骗网站又换上了“蛇年大吉”的丑陋Banner，并推出了蛇年春节活动的话术：“蛇年春节回馈活动”，内容为： 又是新的一年，大家所期待的优惠活动开始咯！ 具体方案： 1、活动期间：见到本文字起-2025年2月12日24:00（北京时间） 2、凡在活动期间累计交易金额达到3000美元（含）以上者，（不论新老用户均可，平台内所有交易均可）获得活动期间内累计交易金额的6%的现金返现，活动结束后3日内打入平台钱包内，请满足条件的用户在2月25日24点前编辑交易记录的文字发送到站内邮箱admincn即可，我们会进行统计。 3、新用户交易红包：凡在活动期间内单次交易达到2500美元以上的新用户，将获得188美元返现红包一个，发放方式同上。新用户是指在2024年11月20日以后注册的用户，无论本活动之前是否有交易记录。老用户禁止参加此项活动，如发现有老用户新注册账号冒充新用户参与，将受到停止交易一个月的处罚。本活动与上一条活动可同时参与。 4、老用户红包：凡在2024年6月以后交易笔数达到5次以上者， 且活动期间内再有任意一笔超过500美元的交易，均可获得368美元的红包。发放方式同上。与第2条活动可同时参与。 5、本次新春活动与幸运大转盘优惠可叠加。 6、本站春节无休，网站24小时一直都会有人值班，商铺如果不营业的卖家会写出说明，没有说明的就是正常营业。根据目前卖家的回馈及往年的情况，所有店铺都将持续营业。 以上两个活动交相呼应，于是上当受骗的小白越来越多。针对该诈骗网站的曝光仍将继续，“暗网下/AWX”还将研究其引流的路径，正确为更多暗网小白挽回损失。 更多暗网新闻动态，请关注“暗网下/AWX”。

芬兰海关在周五的新闻稿中表示，数人因涉嫌维护暗网毒品交易市场“Sipulitie Market”或参与该网站的客户服务和管理而被拘留。Sipulitie市场匿名贩卖麻醉品、毒品和其他药品以及兴奋剂。 芬兰海关（当地称为Tulli）与瑞典警方、欧洲刑警组织和芬兰各警察部门进行了广泛合作。在初步调查期间，数人因涉嫌维护该网站或参与该网站的客户服务和审核而被拘留。 “Sipulitie Market”，芬兰语意为“Onion Road”，是一个芬兰语暗网交易市场，自2023年初推出以来，一直在暗网社区掀起波澜。这个暗网市场主要面向芬兰语用户，以其强大的安全措施和友好的用户界面脱颖而出，深受芬兰语人群喜爱。去年10月，”暗网下/AWX“曾独家报道，“Sipultie Market”已被国际联合执法行动关闭。 据报道，初步调查仍在进行中，今年春天，该案件将被移交至西芬兰检察区考虑起诉。该刑事案件将在北卡累利阿地区法院审理。 芬兰当局去年查封暗网市场“Sipulitie Market” 2024年9月，芬兰海关关闭了自2023年以来一直在加密Tor网络上运行的Sipulitie暗网市场的网络服务器，并查封了服务器内容。该暗网交易市场用于匿名贩卖麻醉品、麻醉药品、药物和兴奋剂。 2024年秋，芬兰海关与瑞典警方合作查封了Sipulitie暗网市场的服务器并获取了服务器上存储的信息，包括源代码、数据库以及日志等。据分析，Sipulitie网站拥有超过17000个注册用户账户，其中150多个是供应商账户。 最新的调查发现了Sipulitie市场背后的犯罪嫌疑人 在海关查获的材料中，调查人员发现了该暗网市场用户之间发送的消息、支付交易详情、用户联系方式以及购买和销售数据。海关已确定了这些用户账户背后的几名嫌疑人，并已针对这些人展开毒品犯罪的初步调查。 在被扣押之前，该暗网市场的管理员公开表示Sipulitie的营业额为130万欧元，这与海关在初步调查中确定的数字相符。调查过程中，警方共追查到近一百万欧元的犯罪所得。其中一些已被扣押，一些则作为担保品被没收。 “海关网络犯罪调查员在调查此案时表现非常出色。我们能够有效干预并发现通过互联网匿名交易非法商品和物质的情况，”芬兰海关执法局局长汉努·辛科宁（Hannu Sinkkonen）表示。 一名居住在芬兰东部的男子被怀疑是Sipulitie暗网市场的管理员。该男子涉嫌三项严重毒品犯罪，涉及维护毒品网站。 在对嫌疑人的房屋搜查中，调查人员从嫌疑人身上查获了IT设备和加密货币材料等物品，以及价值约15万欧元的加密货币作为犯罪所得。为了保证安全，已要求没收嫌疑人价值超过50万欧元的资产。 “Sipulitie Market”的管理员招募在暗网市场上运营的卖家来帮助他进行客户服务并为他们的工作提供报酬。海关已经确定了这些人的身份。首先，他们招募了两名来自新地区（Uusimaa）的男子。在该暗网市场被关闭前几天，来自新地区和中芬兰的3人工作小组开始提供客户服务。该工作小组由2名男子和其中1名男子的母亲组成。 暗网上已不存在芬兰语的暗网市场 芬兰海关怀疑“Sipulitie Market”的管理员还管理着Sipulimarket和Tsätti销售网站，两者都是销售非法物质和毒品的暗网市场，“暗网下/AWX”前期报道，Sipulimarket是“Sipulitie Market”的前身。海关于2024年9月在关闭Sipulitie的同时也关闭了Tsätti网站。 Sipulimarket于2020年被海关关闭。Sipulitie被关闭后，在加密的Tor网络上不再有芬兰语的暗网毒品交易市场运营。 曾经风靡芬兰的Sipulitie市场的用户体验非常棒 “Sipulitie Market”暗网市场曾使用过的暗网V3域名是： http://sipulifrfvh2zqzvivpubhafag722y4xf54l7fggsvai726ivz3y7gad.onion 由于界面直观，浏览Sipulitie市场非常轻松。该暗网市场上架的商品按类别组织有序，浏览和购买非常顺畅。此外，该暗网市场还强调购买流程和安全实践的透明度，从而增强用户信任。 该暗网市场的供应商可以选择接受XMR、BTC支付。供应商以EUR/USD/GBP/SEK法定货币设定产品价格，当用户下订单时，价格将根据当前XMR或BTC汇率转换为XMR或BTC。 最为重要的是，该暗网市场设计了强大的网站安全功能，Sipulitie市场通过多项措施优先考虑用户安全： 强制性双因素身份验证（2FA）：对于供应商来说是必需的，对于买家来说是建议的。 PGP加密：确保买家和供应商之间的保密通信。 托管系统：资金将被保留直至买家确认收到货物，从而降低欺诈风险。

近日，知名网络安全情报研究者@vxdb曝光了臭名昭著的黑客USDoD的监狱预约文件，该文件泄露了该黑客的个人资料信息。本站（anwangxia.com）发现，USDoD于2024年10月16日被巴西当局逮捕。 USDoD对一系列针对大型跨国公司和美国政府实体的大胆数据泄露事件负责，该黑客长期在暗网Breachforums论坛以及俄语网络犯罪论坛XSS上发布其进行网络入侵后窃取的数据。USDoD是美国国防部的英文简称，该黑客将自己的暗网昵称设为“USDoD”是试图挑衅美国当局。 vxdb公布了USDoD在巴西监狱的预约文件 本月1日，安全研究人员@vxdb在X上发布了USDoD的监狱预约文件截图，并表示照片来自巴西警方，原文为葡萄牙语，他已经翻译为英文了。该截图展示了USDoD的姓名、生日、身份号等详细信息以及其正面及侧面照片。 @vxdb是X上知名的网络安全情报研究者，长期从事威胁情报、安全研究、网络犯罪等领域的研究。 USDoD于去年被巴西当局逮捕 2024年10月16日，USDoD在巴西米纳斯吉拉斯州首府贝洛奥里藏特被捕，这是警方在数据泄露行动中发出的搜查和扣押令以及预防性逮捕令的一部分，警方表示他因在网上攻击美国联邦调查局的InfraGard、空中客车、美国环境保护署（EPA）以及巴西联邦警察本身而被拘留。 2024年10月18日，巴西新闻媒体TV Globo率先报道了USDoD被捕的消息，称巴西联邦警察逮捕了一名来自贝洛奥里藏特的33岁男子。据TV Globo报道，USDoD因涉嫌窃取巴西联邦警察官员数据而遭到国内通缉。 TV Globo没有透露被捕男子的姓名，但葡萄牙科技新闻媒体Tecmundo于2024年8月发表了一份报告，称暗网上昵称为USDoD的嫌疑人是来自巴西米纳斯吉拉斯州的33岁Luan BG。Techmundo表示，在收到安全公司CrowdStrike制作的一份详细的非公开报告草稿后，他们才知道了这名黑客的真实身份。 在一份新闻稿中，巴西联邦警察称这名黑客于2024年10月16日星期三被捕，这是正在进行的网络犯罪打击行动“数据泄露行动”的一部分。当局已缴获了他的几台设备以进行进一步调查。警方表示：“接受调查的人将被指控犯有入侵计算机设备的罪行，并将因将获得的数据商业化而加重处罚。” 值得注意的是，USDoD一直保持匿名，直到2024年7月，他公开宣布从网络安全公司CrowdStrike抓取并泄露了一份10万行的入侵指标（IoC）列表。 此后，CrowdStrike开始追踪他的活动，并在一个月内成功发现了他的真实身份。该公司随后将这些信息分享给巴西当局，最终逮捕了他。 USDoD对多起引人注目的网络入侵事件负责 据悉，USDoD还使用过的黑客账号有“Equation Corp”和“NetSec”，据称是消费者数据经纪公司National Public Data被攻破的罪魁祸首，该入侵事件导致数百万美国人的社会安全号码和其他个人信息被泄露。 根据网络情报平台Intel 471的信息，NetSec于2022年2月22日在现已不复存在的暗网犯罪社区RaidForums论坛上发布了一个帖子，其中提供了659名巴西联邦警察的电子邮件地址和密码。 National Public Data是佛罗里达州的一家私人数据经纪商，该公司收集并出售相当一部分美国人口的SSN和联系数据。National Public Data的数据泄露事件导致29亿条记录被盗，其中包括姓名全名、家庭地址、出生日期、电话号码和社会安全号码。 “暗网下/AWX”曾报道，2024年8月，一名网络犯罪分子在暗网Breachforums论坛上以350万美元的价格出售从National Public Data窃取的社会安全号码和其他个人信息。被盗数据至少跨越了30年，并连同服务器凭证一起出售。 进一步的报道显示，National Public Data公司无意中在互联网上公布了自己的密码，从而被USDoD入侵。该公司目前已成为多起集体诉讼的目标，并已经因此次黑客攻击造成的数据泄露而宣布破产。 USDoD还被指控2023年入侵了空中客车公司系统，导致这家航空航天公司的3200家供应商的数据以与National Public Data类似的方式被泄露到网上。 此外，USDoD还声称对TransUnion发生的大规模数据盗窃事件负责，尽管该公司否认USDoD侵入了其系统，称此次攻击的目标是第三方，但并未透露第三方可能是谁。 巴西当局还表示，这名嫌疑人还入侵了FBI的InfraGard，这是美国执法部门用来分享关键威胁信息的门户网站。 2022年12月，USDoD通过社会工程学入侵了FBI的InfraGard计划，该计划是FBI的一项重要计划，旨在与私营部门经过审查的专业人士建立非正式的信息共享伙伴关系，以应对针对美国关键国家基础设施的网络和物理威胁。 USDoD曾以一家大型美国金融公司首席执行官的身份申请加入InfraGard。USDoD列出了这位首席执行官的真实手机号码，然而FBI并没有联系这位首席执行官来核实他的申请，便在几周后就批准了其申请。此后，USDoD使用一个简单的程序收集了80000多名InfraGard成员共享的所有联系信息。 USDoD多次接受外界采访 在接受KrebsOnSecurity采访时，USDoD承认在2024年早些时候窃取了National Public Data公司的内部数据，但他声称没有参与泄露或出售这些数据。 在2023年9月接受databreaches.net的一次长时间采访时，USDoD透露，他是一名30多岁的男子，出生于南美洲，拥有巴西和葡萄牙双重国籍。在那次采访结束时，USDoD表示，他们正计划推出一个从美国获取军事情报的平台。 USDoD自2023年的采访以来一直是Databreaches.net的常驻记者，在信息被曝光后，USDoD向当地一名律师进行了询问，以了解是否有针对他的未决调查或指控。 “根据律师从联邦警察那里了解到的情况，当时他们没有针对他的未结案件或指控，”Databreaches.net表示，“从他写给我的信和我们的谈话中，我的感觉是，他完全不知道自己即将面临被捕的危险。” 当KrebsOnSecurity于2024年8月15日最后一次通过Telegram与USDoD沟通时，他声称他“计划退休并继续前进”，指的是多家媒体报道指责USDoD泄露了近30亿份国家公共数据消费者记录。 然而，不到四天之后，USDoD又回到了他的常去之地BreachForums论坛，发布了他声称自己编写的自定义漏洞代码，用于攻击最近修补的流行博客建站网站WordPress中的漏洞。

近期，有网友向本站（anwangxia.com）发送一个名为Rootexploit的新暗网论坛，希望予以鉴定。按照惯例，“暗网下/AWX”进行了一次探访，发现Rootexploit是一个正在酝酿中的暗网论坛，虽然在X平台有一些宣传，但是该论坛目前依旧没有人气。 Rootexploit暗网论坛的暗网V3域名以root作为前缀： https://root67ae74xjxjhrsdde3fcoajocwn6hbk2mrgxmn2uq2pvvfgl7uqid.onion 初步看来，Rootexploit暗网论坛于2025年1月4日左右创建，建站时间比较短，毫无知名度。众所周知，暗网论坛Dread是专门对暗网市场、暗网论坛综合评估的专业论坛。在Dread进行搜索，并未发现Rootexploit网站的子版块或者有关Rootexploit网站的任何讨论。 “暗网下/AWX”尝试访问该暗网域名，发现与大多数暗网论坛类似，该网站亦是使用开源论坛程序XenForo搭建。XenForo是一款用PHP编程语言编写的互联网论坛软件包。该软件由前vBulletin首席开发人员Kier Darby和Mike Sullivan开发。XenForo的第一个公开测试版于2010年10月发布，稳定版于2011年3月8日发布。XenForo程序历史悠久，因此在十多年的历史沉淀后，鲜有漏洞，相对而言比较安全。 该网站需要注册才能进入访问，与大多数暗网网站不同的是，尽管是初建网站，注册功能居然设置了邮箱验证，即新用户需验证邮箱才能进入该论坛。经“暗网下/AWX”测试，发送验证邮件的邮箱地址是[email protected]，SMTP服务器IP为209.85.216.44。从这点看，该暗网论坛的管理员的OPSEC能力还需加强，强制验证邮箱，既暴露自身的信息，也容易暴露用户的真实信息。在暗网中发展，此为大忌。 Rootexploit暗网论坛主要分为三个大版块：Rootexploit的回声、黑客与漏洞利用、漏洞和CVE漏洞利用，其中“Rootexploit的回声”又包含Void公告、Void更新、Void更新日志和Rootexploit起源4个子版块，“黑客与漏洞利用”包含黑暗面工具库、逆向工程实验室2个子版块，“漏洞和CVE漏洞利用”包含GitHub漏洞库、CVE数据库、CVE漏洞利用教程3个子版块。 由于论坛新建，从主题帖看，目前该论坛仅有4篇主题帖，其中两篇为管理员发布：“更新日志-1：解决用户注册错误”、“Rootexploit 论坛更新 – 隐形 IRC”，均为论坛功能调整；另两篇为用户searchonion发布的有关木马相关的：“Nexus安卓银行木马僵尸网络”、“Spyroid Rat VIP V2 源代码”；从回复看，仅有7篇回复；从注册用户分析，目前该论坛仅有70名注册用户。 查看管理员发布的公告内容，“更新日志-1：解决用户注册错误”公告解决了用户注册时的验证码bug： 亲爱的 Rootexploit 会员 在论坛上报告错误会让我们很高兴，我们会马上解决这个错误，您现在就可以毫不犹豫地注册账户了。 更新日志： 永久删除注册部分的非人类 Recaptcha。 如果您发现任何错误或问题，请通过此邮件 ( [email protected] ) 向我们报告，谢谢。 “Rootexploit 论坛更新 – 隐形 IRC”公告宣布了新的聊天功能插件： 亲爱的会员 现在您可以在论坛中聊天了，这将使您更容易与人讨论和了解。 特点 与用户全球聊天 创建自己的公共聊天室 创建自己的私人聊天室 与用户进行私人对话 自动删除模式 安全性 不存储任何信息 不存储日志 信息完全加盐加密 采用端到端加密 查看首页的聊天室，内容较少，主要是一些求合作的广告，似乎还有中文！ 总体而言，由于Rootexploit暗网论坛是今年新创建的论坛，目前并没有访问价值，更无法判断是否为诈骗网站或者以后会不会退出骗局。至于该暗网论坛能否发展，“暗网下/AWX”将持续关注。

臭名昭著的暗网勒索软件团伙Cl0p发布了一份因Cleo的托管文件传输（MFT）软件漏洞而受到攻击的公司名单。 Cl0p团伙在其暗网泄密网站上发布公告，重点指出了对严重漏洞CVE-2024-50623的利用。该漏洞允许未经身份验证的远程代码执行，并被Cl0p团伙积极用于渗透全球企业的网络。 该漏洞影响Cleo Harmony、VLTrader和LexiCom产品。尽管2024年10月发布了补丁，但网络安全研究人员发现该补丁不够完善，系统容易受到攻击。 该漏洞使攻击者能够上传恶意文件，这些文件会被软件自动执行，从而允许他们未经授权访问敏感数据。此后已发布了较新的补丁（版本5.8.0.24），但由于更新延迟或缓解措施不足，许多团伙仍然容易受到攻击。 Cl0p勒索软件团伙已宣布通过这一漏洞对全球许多目标发起攻击，目前至少有66家企业遭到攻击，受害者涉及物流、消费品和食品供应链等行业。 虽然仅披露了部分受影响企业的名称，但该团伙威胁说，如果赎金要求在1月21日之前得不到满足，他们将公布全部详细信息。 Cl0p勒索软件团伙的勒索策略 Cl0p以其复杂的勒索手段而闻名，它使用多层次的压力来强迫受害者支付赎金。在本案中，该团伙提供了安全的谈判沟通渠道，并警告称不遵守规定将导致被盗数据被公开。这种方法与Cl0p以前的活动如出一辙，例如2023年的MOVEit漏洞，当时数百家公司面临类似的威胁。 该团伙的暗网帖子还宣布计划分阶段发布更多受害者名单。第一批数据预计将于1月18日发布，随后将陆续发布后续数据。 Cleo已意识到问题的严重性，并发布了最新公告，敦促客户立即应用最新补丁。该公司还延长了24/7支持服务，以帮助受影响的客户保护其系统。 然而，网络安全专家警告说，使用Cleo产品的企业必须保持警惕，因为攻击者可能会继续瞄准未修补的系统。 此次事件凸显了勒索软件团伙利用广泛使用的文件传输平台漏洞的广泛趋势。Cl0p的历史包括对Accellion、GoAnywhere MFT和MOVEit软件的类似攻击，展示了利用零日漏洞进行大规模数据泄露的模式。 此次最新攻击凸显了及时补丁管理和强大的网络安全措施的重要性。依赖第三方软件的企业必须主动监控漏洞并及时实施缓解措施以减少风险。 随着Cl0p继续针对Cleo用户发起攻击，受影响的公司面临着越来越大的压力，需要迅速做出反应，否则将面临严重的声誉和财务损失。网络安全社区敦促所有企业优先更新系统并与执法机构合作，以减轻此类攻击的影响。 不断发展的形势清楚地提醒我们，像Cl0p这样的勒索软件团伙所构成的威胁以及他们利用关键基础设施漏洞的不断演变的策略。 Cl0p勒索软件团伙的暗网V3域名以及发布的公告 http://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad.onion/ Dear companies A new part of the companies list will be partially opened and presented on 21.01. Hurry up to contact us so that your name is not on this list!!! Cl0p announcement. We have data of many companies who use cleo. Our teams are reaching and calling your company and provide your special secret chat.

许久没有关注过这个暗网上最恶劣最肆无忌惮的老牌中文诈骗网站了，然而近期又又又有网友被骗了，虽然事后联系通知本站，告知此诈骗网站又换洋葱域名了，但是损失已经无法挽回。 “暗网下/AWX”已经预警过7次，该暗网诈骗网站现使用的网站名称为“华人自己的暗网担保交易市场”，而臭名昭著的曾用名也许大家更熟悉：“正版中文担保交易市场”。该暗网诈骗网站出售的苹果手机、华为手机、BTC钱包、CVV卡料以及各种地下服务都是假的，一旦转账，BTC有去无回。 “暗网下/AWX”多次提醒过的警告依旧：只要在暗网上看到名为“华人自己的暗网担保交易市场”的网站，不管是什么洋葱域名，无论用什么诈骗话术，必定是诈骗网站无疑。这么些年来，“暗网下/AWX”每曝光一次，该诈骗网站就会更换一次暗网域名。而之前使用的暗网网址要么已经被废弃，要么直接跳转至新的暗网域名。 诈骗网站“华人自己的暗网担保交易市场”新更换的暗网V3域名为： http://ttal23727crynfjdxjhdcrxbeu7m4iup545fmvhf4pzquxleuzqu5did.onion 上次本站曝光的暗网V3域名仍在继续使用（访问后跳转新的洋葱域名）： http://waht6tybwp6tztk7qhhph7fc3njkjrbefcxxhxu2zo6oipny7buxulid.onion 目前，骗子已经给该诈骗网站更新了新的圣诞元旦样式的banner，该banner像素非常低，并不清晰，但是能够唬住暗网新手，于是这拙略的骗技，诈骗的成功率却很高。在上次本站（anwangxia.com）再次预警曝光后，纵观2024年，该诈骗网站已经使用了两次话术。 第一次诈骗话术是“六周年庆典回馈活动”： 又到了本站周年庆活动，老朋友们是不是很期待？六周年了，如果是养孩子也该上小学了。这六年来我们经历了很多，也认识了许多用户朋友，总之很感谢大家的一路跟随与支持。 老规矩，以下就是六周年庆典活动的方案，新老朋友按照自己的情况去狂欢吧！ 活动期间（北京时间）：2024年5月30日0点-2023年6月20日24点 1、 单笔交易达到2300美元（含）以上者，可返现交易金额的8%。符合条件者请在交易后48小时内发送交易的单号以及打币的TXID/Hash这两项内容到admincn的站内信，你可以用A账号购买用A账号发信，或者用B账号发信，甚至不注册账号完全匿名购买都可以，只要提供以上两项，核实后就会在48小时内充值入平台钱包。不注册就交易的如果要获得返现就注册一个账号来发信吧，返现只奖励到平台钱包内，没注册是没有平台钱包的。 提供TXID就能确认你是你。新老用户共享此条。 2、活动期间内累计交易10000美元（含）以上，返现累计总金额的6%。此奖励不与第1条重复奖励，如果领取过单次交易奖励的交易，将不能计算到累计交易金额之内。申请奖励方法与第1条相同，请最晚在活动期结束后48小时内发送申请信息给admincn。 新老用户共享此条。 3、本次活动作为六周年庆典回馈，将与幸运大转盘同时进行，折扣码、返现同时进行，可叠加使用。 4、凡是注册时间超过一年（北京时间2023年5月30日前注册）的用户，满足单笔最大交易达到$500以上且交易次数在三笔以上者，可来信联系admincn获得在本站苹果手机店铺只购买一台手机的权限。一般情况下该店手机是不零售的。 5、无论你是陪伴我们走过几年时间的老朋友，还是刚接触的新用户，我们都祝愿在往后的日子里你能越走越顺，心想事成。 第二次诈骗话术是“2024双十一活动公告”： 活动时间：2024年10月04日0点-11月30日24点（北京时间） 活动细则： 活动一：无论新老用户，活动期内在本平台交易满3次，金额最大一次在1000美元以上者；或活动期间内进行了不低于10次交易，累计金额不低于300美元。即可获得400美元购物券，在购买1000美元以上任意商品时均可使用。购物券永久有效。 活动二：活动期内，凡交易金额满3000美元者，即可获得以50美元价格购买全新Iphone16 Max Pro 1T的资格，两个月内有效。或返现400美元到用户的平台钱包，没有使用限制。金融类虚拟类商品只计算该期间内金额最大的一次交易，实物类商品可以累计活动内交易金额。 首页大转盘优惠券与上述活动优惠可叠加使用。 感谢六年多以来新老用户的支持，祝大家购物愉快！ 这些公告中的诈骗话术内容是情深意切，看起来还真像那么回事，但这也是此诈骗网站能如此多成功诈骗的关键，没有江湖经验的小白必然会上当受骗。 除了公告的话术外，该诈骗网站还有一个子栏目，被称为“互动空间”，让傻子觉得似乎有很多真实用户在互动，其实都是管理员填充好的语料，且时间改成最新，极易让人迷惑。如目前两个互动较多的新话题：“最近有没有推荐的项目”、“学人家弄个买支付宝项目的即时帖”，都是骗子精心设置的话术。 目前为止，该暗网诈骗网站使用的邮箱并没有更改，依旧是：[email protected]，这也是警方可以开展调查的突破口之一。 当然，警方还可以有其他突破口，那就是支付途径，通过区块链进行链上分析。该诈骗网站曾经只接受比特币的付款，目前已经增加了多种加密货币：莱特币/以太坊，除了之前的Blockonomics的支付网关接口外，页面上显示还增加了Coinbase的支付接口。 尝试Blockonomics的支付接口，每次提交会给出不同的支付地址： BTC：1JAgdq6QshV1swq2rGa3ryAPML5dKLZzVD、1BXP8RArT65Yb59Q8qRchmPijCVRHHDaPQ ETH：0x265d21263644f7A9EDE1FfA3BB28955c71fF21CF、0xdA8AD05Fb93706fDAb741495405DCB2cB6362FDd LTC：ltc1q6yqzns0scnrs6rpg6wkxhkpusfh3rvpvrygpph、ltc1qt75p2h5hcsqgwh052mchm5z4m9j4kym2qpsjs0 由于是随机地址，以上加密货币地址均是空白地址，无交易信息，也就不具备参考价值。“暗网下/AWX”多次尝试Coinbase的支付接口，均显示错误提示“Unexpected Application Error!”，无法正常提交。 同样，在本次（anwangxia.com）曝光后，骗子定会继续更换暗网V3域名，“暗网下/AWX”将继续追踪，持续跟进曝光。 更多暗网新闻动态，请关注“暗网下/AWX”。