本周,第一版BreachForums论坛(BreachForums v1)的数据泄露事件持续发酵,”暗网下/AWX“一直在追踪此事件。从初始仅公开了用户信息数据,到后来整个论坛的完整数据库泄出,这为执法部门及网络安全情报分析人员提供了绝佳情报源。
第一版BreachForums论坛的21万名成员的个人信息以及论坛完整的数据库,是一位名为emo的知名威胁行为者在自己的Telegram频道泄露的,”暗网下“作为该频道的长期关注者,看到emo的许多吐槽,也能理解其为什么会释出该数据库。
emo在7月20日一开始只是发布了用户数据,文件名为”breachtoleak.tsv“,大小为15MB,共有212214行数据,也就意味着超过21万会员,该数据已经治理好,仅有5列,分别为论坛成员的用户ID、登录名、电子邮件地址、注册IP地址以及访问网站时最后使用的IP地址。随后,7月24日,emo进一步发布了第一版BreachForums论坛的完整数据库,这是一个Mysql的备份文件,文件名为”backup__20221129_000001_2kQ3WCQe2odVrejd.sql“,也就是数据库的备份时间为2022年11月29日,包含论坛私信、主题帖、回复、付款日志、论坛用户数据等全部数据表,该sql文件大小为2.05GB,文件的注释显示”– MyBB Database Backup — Generated: 29th November 2022 at 00:00“。
据emo称,这些数据直接来自第一版BreachForums论坛的创始人Conor Fitzpatrick,据称他在2023年6月保释期间试图以4000美元的价格出售这些数据。emo说,这些数据最终被三名威胁行为者购买。
在此之前,2023年7月,名为“breached_db_person”的人曾试图在BreachForums论坛上以100000至150000美元的价格出售BreachForums论坛数据库,但是否成功售出,不得而知。
虽然该论坛前期已经被查封,意味着该数据库已经落入了FBI手中,但除了执法部门,这些数据对于安全研究人员来说,同样可以提供许多帮助:利用泄露的电子邮件地址和IP地址,研究人员和执法人员可以将BreachForums成员与其他网站、他们的地理位置甚至真实姓名联系起来。
第一版BreachForums论坛数据库来自哪里 早在7月19日,在Telegram频道”explain“(ugly inside and out)里,频道管理员emo透露了许多内幕消息。emo称BreachForums是一个令人尴尬的论坛,由一名FBI线人和一名“Blooket”黑客运营了一年,他们还在试图出卖论坛的用户信息。emo表示在原管理员pompompurin在2023年被捕后曾与多人联系过,第二版BreachForums的工作人员得知Baphomet很可能已被FBI识别,但不知道出于什么原因,他们决定忽略所有警告。
emo称自己掏腰包,花了将近0.5个BTC,从BreachForums论坛的版主”Dedale“那里购买了第一版BreachForums论坛的数据,以防止它被出售而导致最终泄露。此外,他还自掏腰包支付了人肉”Dedale“的费用。
据emo称,开发者和版主“Dedale”试图在BreachForums上出售以前的论坛数据库,因此他对“Dedale”进行了人肉搜索,由于“Dedale”的安全防护意识(opsec)极其糟糕,他发现了“Dedale”的许多信息。在成为版主之前,Dedale曾使用别名Gliz,他通过编写糟糕的Python脚本来操纵Blooket游戏大厅(Blooket是一款面向儿童的互动教育类儿童游戏),扮演一名黑客。Gliz非常愚蠢,在github提交中泄露了他的一封私人电子邮箱:[email protected],而该邮箱与其别名”Gliz“、oblox的用户名”xXCOOLKID_MONEYxX“和fortnite的用户名”Trxpzz“都关联上了。emo称Gliz去年年底入侵并联手ShinyHunters从U-Haul勒索了高达7位数的款项!此外,由于Dedale没有安全意识,emo还有两点发现:
在Steam上搜索Dedale的独特用户名,会显示“Wasil”这个名字( https://steamcommunity.com/search/users/#text=itrxpzz0 ) 在BreachForum数据库中,Dedale多次泄露自己的家庭IP地址,该地址位于伊利诺伊州德斯普兰斯。 emo称,如果想知道这个数据库是如何存在的……首先,数据库并没有被“破解”,pompompurin同意在2023年6月以4000美元的价格将数据库卖给他的一个密友,但他的朋友没有足够的钱购买数据库,所以他们找到了版主“Dedale”,后者也没有足够的钱购买数据库,所以Dedale找到了ShinyHunters组织(他联合这个组织一起勒索了U-Haul)。ShinyHunters提供了资金,朋友、Dedale和ShinyHunters三个人都拿到了数据库。Dedale后来试图在论坛上以“breached_db_person”的名义出售数据库,因为只有3个人拥有数据库(不包括pom本人),很明显ShinyHunters知道并愿意Dedale背叛、允许其出卖论坛的用户信息,从而获得5位数的金钱。
多个版本的BreachForums论坛 正如”暗网下/AWX“曾经报道,近年来有多个论坛以数据泄露论坛的名义在运营,致力于建立一个云集黑客、数据收集者和威胁行为者的社区,他们交易、出售和泄露从被入侵公司窃取的数据。
第一个声名鹊起的数据泄露论坛是RaidForums,在2022年被FBI查封之后,一个名为Pompompurin的威胁行为者推出了一个名为BreachForums(又名Breached)的新论坛来填补空白,这就是第一版BreachForums(BreachForums v1)。
BreachForums论坛迅速崛起,威胁行为者自豪地泄露了大量被盗数据,包括来自美国国会医疗保健提供商DC Health Link、RobinHood的数据,以及使用暴露的API爬取的Twitter数据。
然而,在DC Health Link数据泄露后不久,FBI于2023年3月逮捕了第一版BreachForums论坛的创始人Conor Fitzpatrick(论坛昵称为Pompompurin)。
不久之后,第一版BreachForums论坛的一位前管理员(昵称为Baphomet)与臭名昭著的被盗数据卖家ShinyHunters合作,创建了第二版BreachForums论坛(BreachForums v2)。
今年5月,第二版BreachForums论坛突然被FBI查封,据称Baphomet被捕,几天后ShinyHunters抢回域名BreachForums.st并恢复了论坛的访问,因此本站(anwangxia.com)将目前的BreachForums称为第三版BreachForums(BreachForums v3)。
由于存在多个版本的BreachForums论坛,根据emo泄露的文件名称,本次泄露的论坛备份文件时间为2022年11月29日,也就意味着最近泄露的数据来自第一版BreachForums论坛,该网站最初由Pompompurin于2022年创建,后来被FBI查封。
emo坚称BreachForums论坛是FBI的蜜罐 根据”暗网下/AWX“对网络犯罪圈子的长期研究,多数黑客以及威胁行为者均认为BreachForums论坛是FBI的蜜罐,emo同样如此,他也坚称BreachForums论坛是FBI的蜜罐。
emo表示,如果在经历了这一切之后你还继续使用BreachForums论坛,那你就太弱智了。emo称,请远离BreachForums,这是一个真实存在的蜜罐,由三人运营,这三人分别是:
ShinyHunters(阿纳斯塔西娅)——这个团体的核心成员被美国司法部起诉,但却没有被关进监狱???好奇🤔 Armadyl – 一名同性恋吸毒成瘾者,被我曝光了XD WillyWonka – 这黑鬼到底是谁啊😹 很奇怪的是,Baphomet(一名FBI线人)将BreachForums的控制权移交给了ShinyHunters。但不知何故ShinyHunters却没有被关进监狱;更奇怪的是ShinyHunters位于法国,其论坛托管着许多法国数据库。。,但他们并没有入狱,也没有因为运营论坛而遇到任何法律问题!
emo说自从这个狗屁蜜罐论坛开始以来,他和其他人也一直在幕后表达担忧,来提高人们对该论坛可疑程度的认识。这个论坛曾三次向FBI泄露其成员的信息,并由一名FBI线人担任管理员。一个论坛将其自己的数据库转储到网站根目录,从而泄露了自己的数据库……一个论坛的管理员是FBI线人……一个论坛的版主试图出售自己的数据库。这样的论坛还能使用?
根据FortiGuard Labs基于FortiRecon提供的威胁情报进行的最新分析,一年多来,越来越多的网络犯罪分子将今年即将举办的奥运会作为攻击目标。
FortiGuard Labs观察到为巴黎奥运会而收集的资源显著增加,尤其是针对法语用户、法国政府机构和企业以及法国基础设施提供商的资源。从2023年下半年开始,针对法国的暗网活动激增。
这种80%至90%的增幅在2023年下半年和2024年上半年一直保持一致。这些威胁的普遍性和复杂程度证明了网络犯罪分子的计划和执行能力,而暗网是他们活动的中心枢纽。
记录在案的活动包括:旨在加速数据泄露和收集个人身份信息(PII)的先进工具和服务日益增多;出售被盗凭证和被盗的VPN连接,以实现对专用网络的未授权访问;以及为巴黎奥运会定制的网络钓鱼工具包和漏洞利用工具的广告。其中还包括出售包含敏感个人信息的法国数据库,以及法国公民的组合列表(用于自动暴力破解攻击的被泄露用户名和密码的集合)。
鉴于俄罗斯和白俄罗斯未受邀参加今年的奥运会,亲俄组织的黑客活动也出现了激增,这些组织包括LulzSec、noname057(16)、CyberArmy Russia Reborn、Cyber Dragon和Dragonforce,他们明确表示他们的目标是奥运会。来自其他国家和地区的组织也很活跃,包括Anonymous Sudan(苏丹)、Gamesia Team(印度尼西亚)、Turk Hack Team(土耳其)和Team Anon Force(印度)。
虽然网络钓鱼可能是最简单的攻击形式,但许多技术水平较低的网络犯罪分子不知道如何创建或分发网络钓鱼电子邮件。网络钓鱼工具包为新手攻击者提供了一个简单的用户界面,帮助他们编写令人信服的电子邮件、添加恶意负载、创建网络钓鱼域命并获取潜在受害者名单。文本生成AI服务的加入还消除了拼写、语法和图形错误,这些错误会让收件人将电子邮件设别为恶意电子邮件。
FortiGuard实验室团队还记录了大量在奥运会期间注册的错别字域名抢注现象,包括名称的变体(oympics[.]com、olmpics[.]com、olimpics[.]com等)。这些域名与官方售票网站的克隆版本相结合,将用户引导至虚假付款方式,但用户无法获得门票,钱也打了水漂。
法国国家宪兵队与奥运合作伙伴合作,发现了338个声称出售奥运门票的欺诈网站。根据他们的数据,其中51个网站已被关闭,140个网站已收到执法部门的正式通知。
同样,已发现多起以奥运会为主题的彩票诈骗案,其中许多都冒充可口可乐、微软、谷歌、土耳其国家彩票和世界银行等知名品牌。这些彩票诈骗的主要目标是美国、日本、德国、法国、澳大利亚、英国和斯洛伐克的用户。
此外,用于创建钓鱼网站和相关直播面板的编码服务、用于实现群发短信的批量短信服务以及电话号码欺骗服务也在增加。这些服务可为网络钓鱼攻击提供便利,传播错误信息,并通过冒充可信来源破坏通信,可能在活动期间造成重大的操作和安全挑战。
此外,信息窃取恶意软件旨在秘密渗透受害者的计算机或设备并获取敏感信息,例如登录凭据、信用卡详细信息和其他个人数据。威胁行为者正在部署各种类型的窃取恶意软件来感染用户系统并获取未经授权的访问权限。威胁行为者和初始访问代理可以进一步利用这些信息来执行勒索软件攻击,对个人和企业造成重大损害和经济损失。
FortiGuard Labs的数据显示,Raccoon目前是法国最活跃的信息窃取者,占所有检测的59%。Raccoon是一种有效且廉价的恶意软件即服务(MaaS),在暗网论坛上出售。它会窃取浏览器自动填充密码、历史记录、cookie、信用卡、用户名、密码、加密货币钱包和其他敏感数据。紧随其后的是Lumma(另一种基于订阅的MaaS),占21%,Vidar占9%。
2024年巴黎奥运会除了弘扬体育精神和体育竞技之外,还是一个高风险的网络威胁目标,吸引了网络犯罪分子、黑客组织和国家支持的行为者的关注。网络犯罪分子正在利用网络钓鱼诈骗和欺诈手段来利用毫无戒心的参赛者和观众。
假票务平台、欺诈性商品和身份盗窃手段可能会造成经济损失,并破坏公众对活动相关交易的信任。此外,由于法国的政治立场和国际影响力,2024年巴黎奥运会也是出于政治动机的团体的主要目标。
FortiGuard实验室预计,黑客组织将重点关注与巴黎奥运会相关的实体,以扰乱该赛事,攻击基础设施、媒体渠道和附属组织,扰乱赛事进程,破坏可信度,并在全球舞台上传播放大他们的信息。
据报道,已倒闭的加密货币交易所Bitzlato的创始人已经可以免于进一步的牢狱之灾,此前他的交易所处理了来自俄罗斯暗网的超过7亿美元的非法收益,后于2023年初在美国被捕。
据报道,7月18日,纽约地方法院,法官埃里克·维塔里亚诺(Eric Vitaliano)判处阿纳托利·莱格科迪莫克(Anatoly Legkodymoc)服刑,在此之前,他承认了一项经营无牌汇款业务的指控。
维塔利亚诺法官表示,莱格科迪莫夫已在布鲁克林大都会拘留中心(MDC)服刑18个月,这对于他的罪行来说已经足够惩罚了。布鲁克林MDC是美国最臭名昭著的监狱之一。
维塔利亚诺表示:“这是一个可怕的地方,法庭确实考虑到了这一点。”
FTX创始人山姆·班克曼-弗里德(Sam Bankman-Fried)在自己的欺诈案审判之前也曾在MDC服过刑,他被判七项欺诈指控全部成立,并被判处25年监禁。
莱格科迪莫夫还同意放弃对法国执法部门在2023年1月23日关闭该交易所的全球执法行动中扣押的价值2300万美元的加密货币资产的任何索赔权。
检方指控,莱格科迪莫夫通过俄罗斯暗网市场Hydra Market协助兑换了超过7亿美元的加密货币,并且没有采取足够的措施来监控谁在使用该交易所。
检方还表示,Bitzlato交易所的用户定期访问该交易所的客户服务门户网站,就Hydra Market上的交易寻求帮助,并经常承认他们使用虚假身份进行交易。
他们还指出,在2019年5月的一条信息中,莱格科迪莫夫告诉Bitzlato的一名同事,该交易所的许多用户“都是众所周知的骗子”。
莱格科迪莫夫在向法庭提交的声明中表示,过去18个月他一直在反思自己在Bitzlato交易所的行为。
他说:“我现在意识到,作为公司的创始人,我本可以做得更多。”
在国际社会协调的联合执法行动关闭该交易所后,莱格科迪莫夫于2023年1月17日在迈阿密被捕。
美国、西班牙、葡萄牙、塞浦路斯和欧盟执法合作局(Europol)参与了逮捕莱格科迪莫夫并关闭交易所的执法行动。
欧洲刑警组织报告称,Bitzlato交易所处理的约46%的资产(当时相当于10.9亿美元)与非法活动有关。
欧洲刑警组织表示:“大多数可疑交易都与外国资产控制办公室(OFAC)制裁的实体有关,其他交易则与网络诈骗、洗钱、勒索软件和虐待儿童材料有关。”
近日,一个自称为”Vanir Group“的新勒索软件团伙最近首次出现在公众视线。该团伙在短时间内攻击了三名受害者,并通过一个暗网数据泄漏网站公开了他们的行动。本站(anwangxia.com)尝试访问了该暗网勒索团伙的暗网网站。
在他们的暗网网站上,”Vanir Group“给他们勒索的目标留下了一条恐吓信息,收信人是受影响公司的首席执行官或域名管理员。以下是部分内容:
您好,您一定是域名管理员或首席执行官,换句话说,您是我们最新的受害者。
您阅读这条信息意味着贵公司的内部基础设施已被入侵,您的所有备份都已删除或加密。
我们还窃取了贵公司持有的大部分重要数据。
今后,与我们合作将符合贵公司的利益,以避免进一步蒙羞。
我们知道一切。我们仔细研究了贵公司的所有财务状况,我们知道贵公司需要支付的合理价格。
我们会公平地对待你们。
如果您选择无视我们的善意,向执法部门或数据恢复专家报告,让他们帮您想办法恢复丢失的数据,您只会损失的是时间和金钱,而我们在这个过程中失去的是耐心。
失去耐心将导致您的敏感信息泄露给您的竞争对手和其他网络犯罪分子,他们肯定会从中获利。避免这种情况对您最有利。
我们始终愿意进行谈判,因为我们认为对话应该是第一选择,而激烈的行动应该留到最后。
如果我们无法达成协议,我们将出售或赠送我们从您那里窃取的所有信息。
”Vanir Group“声称对受影响公司的财务状况了如指掌,这表明赎金价格是经过精心计算的。他们威胁说,如果不满足他们的要求,就会出售或分发被盗数据,这也是勒索软件集团的一贯套路,那就是双重威胁,既加密数据,又威胁泄露数据。
”Vanir Group“的暗网网站 ”Vanir Group“的暗网网站设计的非常有创意,酷似一个Linux系统的终端,且操作也如一个真的互动终端。在这个终端里可以输入四个命令:输入”help“等命令,查看可用命令列表;输入”news“命令,查看有关该勒索集团及其受害者的信息;输入”victims“命令,可以查看所有受害者的名单;输入”clear“命令,可以清除当前屏幕显示。
在页面中,”Vanir Group“还邀请潜在的附属组织与他们联系,暗示他们正在寻找合作者来扩大他们的行动:
“要加入我们,请在Tox上给BlackEyedBastard发消息,以便对你进行审查”。
”Vanir Group“是”暗网下“观察到的网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司,给潜在受害者和执法部门都敲响了警钟。企业必须加强网络安全防御,采取预防措施,避免成为该勒索软件集团的下一个受害者。
三位受害者中包含中国的企业 通过”Vanir Group“的暗网泄密网站,”暗网下/AWX“输入了”news“与”victims“命令,获取了三位受害者信息,具体如下:
Beowulfchain.com,美国公司,Beowulfchain是一个去中心化的通信和数据网络,使企业能够无障碍地提供通信。于2024年7月7日被”Vanir Group“攻击并锁定,被窃取17GB内部数据。
Qniao.cn,中国公司,千鸟互联是中国第一家中国印包产业链数字化交易服务商。”Vanir Group“未公开攻击时间,但透露该企业被窃取80GB内部数据。
Athlon.com,荷兰公司,Athlon是运营车辆租赁和移动解决方案的国际供应商。于2024年6月3日被”Vanir Group“攻击并锁定,被窃取20GB内部数据。
对于”千鸟互联“(Qniao.cn),”暗网下/AWX“查看了其官方网站,这是一家互联网辐射的印刷包装产业链交易服务平台。根据其网站介绍,”千鸟互联是中国第一家中国印包产业链数字化交易服务商。先进的“智能云工厂+闭环供应链”模式,通过自主研发的IOT+MES系统创造性地把数万家印刷包装厂的数十万台生产设备连接起来,有效整合闲置产能,可视化管控生产流程,形成更加智慧、高效的智能云工厂;并且通过自建“前置工厂+智慧物流体系”,重新构建印刷包装产业更加高效、便捷的供应链体系,最终以更低的价格、更高效的管控为烟酒、珠宝、家具、灯饰、玩具、食品、化妆品、电子产品、物流快递等数十个需要纸包装的行业提供订单生产的完美交付。 千鸟互联用互联网手段赋能传统产业,自2017年成立以来,迅速打造了以“千鸟云印、千鸟原纸、千鸟回收、千鸟金融”为核心的产品矩阵。截止目前,千鸟业务范围辐射广西、安徽、浙江、福建等超过十个城市,单月营收已近2亿元。预计2021年营收将突破15亿,纳税额超过2亿。 业务的飞速发展,让千鸟很快得到国内众多顶级投资机构的亲睐,先后获得了广东省宣传部旗下广东文投创工场、中国前三名天使投资机构梅花创投、腾讯史上第一个投资人刘晓松主导的青松基金、深圳广电集团旗下的前海天和文化基金等顶级投资人共五轮过亿风险投资。“这么大的企业居然被勒索,因此,网络安全还是需要重点投入。
FIN7是一个源自俄罗斯的神秘而持久的以经济利益为目的的威胁组织,自2012年以来一直活跃,针对各个行业领域发起攻击,并在酒店、能源、金融、高科技和零售等行业造成了重大经济损失。
据观察,FIN7团伙在多个暗网论坛上使用多个假名,可能是为了宣传一种已知被Black Basta等勒索软件团伙使用的工具。
2022年5月19日,名为“goodsoft”的用户在暗网论坛exploit.in上发布了一款AV杀手工具的广告,起价为4000美元,该工具针对各种端点安全解决方案。后来,在2022年6月14日,名为“lefroggy”的用户在暗网论坛xss.is上发布了类似的广告,价格为 15,000 美元。一周后,即6月21日,名为“killerAV”的用户在暗网论坛RAMP上发布了类似的广告,价格为 8,000 美元。
网络安全公司SentinelOne在一份报告中表示:“AvNeutralizer(又名AuKill)是FIN7开发的用于篡改安全解决方案的高度专业化工具,已在地下犯罪市场销售,并被多个勒索软件团伙使用。”
FIN7团伙自2012年以来一直是一个持续性的威胁,从最初针对销售点(PoS)终端的攻击转向充当REvil和Conti等现已解散的勒索软件团伙的附属机构,之后又推出了自己的勒索软件即服务(RaaS)项目 DarkSide 和 BlackMatter。
该威胁行为者还曾经取名为Carbanak、Carbon Spider、Gold Niagara和Sangria Tempest(以前称为Elbrus)等名称,曾设立Combi Security和Bastion Secure等幌子公司,以渗透测试为借口招募不知情的软件工程师参与勒索软件计划。
多年来,FIN7通过重组其恶意软件库——POWERTRASH、DICELOADER(又名IceBot、Lizar或Tirion)以及通过POWERTRASH加载器提供的渗透测试工具Core Impact,展示了高度的适应性、复杂性和技术专长,尽管其部分成员已被逮捕和判刑。
根据Silent Push最近发布的报告,该FIN7团伙通过部署数千个模仿合法媒体和技术企业的“shell”域名,开展大规模网络钓鱼活动来传播勒索软件和其他恶意软件家族,这证明了这一点。
另外,这些”shell“域名偶尔会在传统的重定向链中使用,将用户发送到伪装成物业管理门户网站的欺骗登录页面。
这些域名抢注版本会在Google等搜索引擎上做广告,诱骗搜索热门软件的用户下载带有恶意软件的版本。被攻击的工具包括7-Zip、PuTTY、AIMP、Notepad++、Advanced IP Scanner、AnyDesk、pgAdmin、AutoDesk、Bitwarden、Rest Proxy、Python、Sublime Text和Node.js。
值得注意的是,此前eSentire和Malwarebytes曾在2024年5月强调过FIN7使用恶意广告策略的情况,其攻击链导致了NetSupport RAT的部署。
SilentPush指出:“FIN7在多个主机上租用了大量专用IP,但主要租用在Stark Industries上,这是一家流行的防弹(bulletproof)主机托管服务提供商,与乌克兰和整个欧洲的DDoS攻击有关。”
SentinelOne的最新发现表明,FIN7不仅在网络犯罪论坛上使用多个角色来促进AvNeutralizer的销售,而且还对该工具进行了改进,增加了新的功能。
这是基于这样一个事实:自2023年1月起,多个勒索软件团伙开始使用针对EDR程序的更新版本,而在此之前,该程序仅由Black Basta组织独家使用。
SentinelLabs研究员Antonio Cocomazzi称,在没有更多证据的情况下,不应将AvNeutralizer在暗网论坛上的广告视为FIN7采用的一种新的恶意软件即服务(MaaS)策略。
“FIN7一直致力于开发和使用复杂工具来开展自己的业务,”Cocomazzi说道。“然而,向其他网络犯罪分子出售工具可以看作是他们实现多样化和创造额外收入的方法的自然演变。”
“从历史上看,FIN7一直利用暗网市场来获取收入。例如,美国司法部报告称,自2015年以来,FIN7成功窃取了超过1600万张支付卡的数据,其中许多都在暗网市场上出售。虽然这在勒索软件时代之前更为常见,但AvNeutralizer目前的广告可能预示着其战略的转变或扩张。”
“这可能是因为与以前的反病毒系统相比,现在的EDR解决方案提供了越来越多的保护。随着这些防御能力的提高,对AvNeutralizer等减损工具的需求也大幅增长,尤其是勒索软件运营商。现在,攻击者在绕过这些保护措施方面面临着更严峻的挑战,这使得此类工具变得非常有价值和昂贵。”
就其本身而言,更新后的AvNeutralizer版本采用了反分析技术,最重要的是,它利用名为“ProcLaunchMon.sys”的Windows内置驱动程序与ProcessExplorer驱动程序结合来篡改安全解决方案的功能并逃避检测。据信,该工具自2022年4月以来一直在积极开发中。
Lazarus Group也使用了类似版本的方法,这使得该方法更加危险,因为它通过将Windows机器中默认存在的易受攻击的驱动程序武器化,超越了传统的自带易受攻击驱动程序(BYOVD)攻击。
另一个值得注意的更新涉及FIN7的Checkmarks平台,该平台已被修改为包含一个自动SQL注入攻击模块,用于利用面向公众的应用程序。
SentinelOne表示:“FIN7在其攻击活动中采用了自动攻击方法,通过自动SQL注入攻击瞄准面向公众的服务器。此外,它在暗网论坛中开发和商业化AvNeutralizer等专用工具,大大增强了该组织的影响力。”
”暗网下/AWX“一年前曾经曝光了暗网枪支商店”TOR GUNS”,看起来很逼真的卖枪网站其实是纯粹的诈骗网站。然而,暗网上太多类似的诈骗网站,让网友们防不胜防,近日,本站官方Telegram群组的网友举报了另一个暗网商店:”Black Market”,号称可以买卖枪支,但其实也是一个持续诈骗若干年的诈骗网站。
令人惊讶的是,暗网武器军火商店”Black Market”在Onion666暗网导航的”在线交易“类别里已经存在好多年了,虽然评论里一片质疑声,但没人举报或者投诉,直到昨天,才有匿名网友称”骗人了,付了比特币然后根本没有任何售后和产品给你“、”直接就是诈骗,我这里比特币付款记录我都保存着的,真的是死爹妈的狗玩意“。同一天,本站(anwangxia.com)官方Telegram群组的网友”我是小名“在群组举报道”曝光一个骗子暗网,付了比特币之后就没有任何回应了“,并指出该暗网网站链接来自Onion666暗网导航。
“暗网下/AWX”根据Onion666暗网导航的地址访问了这个暗网诈骗商店“Black Market”,该诈骗网站——武器商店”Black Market”的暗网onion域名为:
http://weapon5dj7fwz2zaqa22fqeaqrauclim5kfvecegphrvxeywxoa3wuid.onion
该V3域名以”weapon“打头,但商店名称却是”Black Market“,有点驴头不对马嘴。
打开网站后,是很简单的首页(index.php),也算一个引导页面,诈骗话术也很单一:
您需要一个可靠的、服务质量有保证的供应商吗?
现在就选择您所需要的,我们在全球范围内发货,并保证所有实物货物的成功运输。此外,我们还拥有一个武器库存齐全的仓库,并知道许多运送武器的方法。这就是我们的包裹递送策略。
点击”See products“进入商品页面(shop.php),该页面展示了24个商品,包括枪支、枪支配件、毒品、假钞、假冒证件等等。其中数量最多的是枪支,种类很多,从手枪到狙击步枪,给人琳琅满目的感觉,一眼看去,有”沙漠之鹰 357 马格金色虎纹手枪“、”雷明顿防御 XM110 SASS 308狙击步枪“、”TSS Custom AK 47 AKMS 底夹 24K 金“等等。所有商品列表具体如下:
Desert Eagle 357 Mag GOLD TIGER STRIPE
Remington Defense XM110 SASS 308
Barrett M107A1 20inch CQ FDE 50 BMG QDL Suppressor
COLT LE6920 M4 AR-15 5.56NATO w/Optics
TAVOR Mepro 21 SAR IDF Israel weapons Industry (IWI)
FN PS90 w/Red-Dot 5.7X28
Savage Mark II TRR-SR 22 lr TB 22L-1 Thunderbeast
经过多年的搜寻,一名德国公民本周一在哥伦比亚圣玛尔塔被捕。他被指控在哥伦比亚和美国之间通过暗网与加密货币进行非法交易,从事贩卖毒品、武器销售和洗钱活动。据报道,他是墨西哥锡那罗亚贩毒集团和哥伦比亚海湾帮(Clan del Golfo)之间的中间人。
德国人因多项刑事指控在哥伦比亚被捕 逮捕行动是在哥伦比亚警方和美国国土安全调查局(HSI)的协调下进行的,哥伦比亚媒体《El Tiempo》报道了警方的行动,该行动逮捕了德国公民帕特里克·施密茨 (Patrick Schmitz),他因多项刑事指控而被哥伦比亚和美国通缉。
该男子自2015年以来一直藏匿在哥伦比亚。施密茨住在加勒比海岸圣玛尔塔附近的一个旅游胜地塔甘加村。他在一间僻静的豪华小屋中管理着他的大规模犯罪活动,小屋配备了精密的监控系统、武器和一个撒旦祭坛。据报道,他是管理暗网的专家,利用暗网与毒贩、军火商和非法加密货币交易经纪人建立犯罪联系。
据报道,这名德国人参与了哥伦比亚和美国之间的多项犯罪活动和交易,值得注意的是,他在美国贩卖可卡因、儿童色情制品、伪造证件、黑客服务、合成毒品(包括芬太尼)以及用于隐藏非法信息存储设备的配件。据哥伦比亚警方称,他为墨西哥锡那罗亚贩毒集团和哥伦比亚当地贩毒集团“Clan del Golfo”之间的行动提供便利。
哥伦比亚国家警察发现,施密茨经常出入圣玛尔塔和拉瓜伊拉的高档酒店,与毒贩和投资者会面。他雇佣了会计、工商管理和法律方面的专业人士,为自己的非法所得披上合法的外衣。
哥伦比亚向美国和德国当局通报了这一抓捕行动。施密茨现在可能面临被引渡到这两个国家之一的命运。
哥伦比亚的“幽灵毒枭”和墨西哥贩毒集团 施密茨的暗网专业知识为各种非法活动提供了便利,包括可卡因、合成毒品(如芬太尼)的销售和武器贩运。他使用哈瓦拉(Hawala)和 Espejo(镜像)等复杂方法处理哥伦比亚、中美洲和美国犯罪组织之间的付款。此外,施密茨还投资于哥伦比亚加勒比海沿岸的房地产和酒店业,以清洗其犯罪所得。
为了掩盖其犯罪收入,施密茨在加勒比海岸各地投资房地产,尤其是在圣玛尔塔省和瓜希拉省。这是“幽灵毒枭”、低调罪犯和毒贩的常见做法,他们充当犯罪组织之间的纽带,为交易提供便利。
今年3月,西班牙和哥伦比亚警方联合行动抓获了该国最著名的“幽灵毒枭”之一。朱利安·安德烈斯·穆里略·菲格罗亚(Julian Andrés Murillo Figueroa),别名“El Zar”(沙皇)或“H-1”,是哥伦比亚贩毒集团(包括 Clan del Golfo)与欧洲犯罪组织(例如意大利的“Ndrangheta”和摩洛哥-荷兰的“Mocro Maffia”)之间的主要联系纽带。
对被捕德国人的调查进一步揭示了哥伦比亚和墨西哥犯罪组织之间的联系。近年来,墨西哥贩毒集团(卡特尔)在哥伦比亚的势力不断扩大。麦德林和卡利贩毒集团消失后留下的空白让墨西哥贩毒集团得以迅速崛起。他们现在决心控制全球可卡因贸易,从美国的分销点到哥伦比亚的生产区,因为哥伦比亚占全球可卡因产量的60%至70%。
在哥伦比亚,锡那罗亚贩毒集团主要活动在加勒比地区,活动范围包括玻利瓦尔省、苏克雷省、瓜希拉省、马格达莱纳省、大西洋省、塞萨尔省以及圣安德烈斯岛和普罗维登西亚岛。该集团还在太平洋沿岸活动,据报道,该集团与游击队组织合作,以确保可卡因供应。
据称施密茨是暗网市场“Versus Market”的供应商之一 施密茨被捕是哥伦比亚和美国当局精心秘密行动的结果。哥伦比亚总检察长办公室的特工与美国国土安全部特工一起参与了逮捕行动,此前他们在暗网(据“暗网下/AWX”分析,调查人员从暗网市场“Versus Market”获取的数据)发现了一个名为威廉·吉布森(William Gibson)的用户和一个名为PapaLegba的账户,表明他们位于哥伦比亚。专门的情报和监视活动揭示了与施密茨犯罪活动相关的IP地址。有一次,调查人员获得了一杯被丢弃的酒精饮料,通过饮料采集到他的指纹,最终确认了他的身份。一名卧底情报人员潜入了施密茨的网络,发现了有关他的犯罪联系人和通信方式的重要信息。
随着施密茨被捕,当局已切断了哥伦比亚和墨西哥贩毒集团之间的重大犯罪联系。他目前面临被引渡到美国,在那里他将面对与其广泛犯罪活动有关的多项指控。
施密茨的被捕是今年破获的几起重大暗网管理员案件之一,这表明在这些非法网络中开展业务正变得越来越危险。世界各地的执法机构都在加大打击暗网活动的力度,导致大量高调的逮捕行动和捣毁复杂的犯罪集团。
暗网市场DrugHub是一个新兴市场,也是暗网市场“White House Market”的前身,前不久该市场接管了暗网市场SuperMarket的账户。暗网市场SuperMarket也是一个新兴市场,也是一个从一开始就麻烦不断的市场。
“暗网下/AWX”梳理了这两个暗网市场的故事,在SuperMarket市场存在初期,由于XMR漏洞,造成了巨大的损失。人们普遍认为,在“Incognito Market”背后的运营者被捕后,“Father Bear”偷走了所有用户的资金,在看到给他的指控后,这让他心寒不已,再三猜测自己是否适合经营市场,然后继续偷走了中央钱包的资金。
后来,“Mama Bear”决定他们不再经营SuperMarket市场,并放弃数据库,以便用户能够通过DrugHub市场获得全额赔偿。
鉴于最近“Incognito Market”和“Kingdom Market”(这两个市场都曾是当时的头号暗网市场)的破产,给暗网的黑市带来了巨大冲击,掀起了轩然大波。由于暗网交易市场上本身充斥着破产和退出骗局,许多用户开始感到绝望。此举实际上是为了让许多用户重拾对这些市场的信心,并在DrugHub方面赢得更多信誉。
然而,近期暗网市场DrugHub又引发了一些争议,在暗网论坛Dread上,有用户称,DrugHub保护市场里的骗子供应商。“暗网下”分析,有可能该市场本身也是诈骗市场。
对此,暗网媒体@DarkWebInformer发布推文称,自从暗网市场SuperMarket选择退出骗局后,该市场的其中一位管理员与暗网市场DrugHub合作,称为那些在SuperMarket遭受损失的用户“弥补”损失。但@DarkWebInformer表示一直怀疑DrugHub是也是一个骗局,并提醒大家不要支持DrugHub,不要支持其供应商mrmonk。
Ever since SuperMarket exit scammed and one of the admins 'worked' with DrugHub to make things 'whole' for those who lost out at SuperMarket.. I've always been suspicious at how DrugHub is run.
DO NOT support DrugHub!!! 🖕
DO NOT support the vendor mrmonk!!!🖕 pic.twitter.com/p9KxcXxQtQ
— Dark Web Informer (@DarkWebInformer) July 10, 2024 暗网论坛Dread上针对mrmonk的举报帖子 Dread用户/u/zx21发布帖子“drughub的mrmonk对我进行了人肉搜索,我因为举报他是骗子而在/d/drughub上被禁言十年”,帖子称drughub欠其一个解释,为什么drughub要保护一个人肉搜索的骗子。
帖子描述道,他已经十多次举报供应商mrmonk是骗子,希望DrugHub能确认并引起重视,然而他却因在/d/drughub上发布关于/u/mrmonk的帖子而被禁言十年。
自去年以来,谷歌一直在监控Google One用户被盗账户信息的暗网泄露情况,如果您是美国的Google One用户,则可以使用“暗网报告”功能扫描暗网中的个人信息,例如电子邮件、地址、社会保险号、电话号码和出生日期。如果Google在扫描过程中发现任何此类信息,您将收到通知,其中包含有关下一步操作的建议。这类似于Google为所有人提供的功能,如果您的个人信息出现在搜索结果中,则会提醒您。
自该服务推出以来,谷歌一直将暗网监控功能限制在每月支付2至20美元(具体取决于套餐)的客户范围内。但从本月晚些时候开始,“暗网报告”功能将于7月下旬从Google One中移除,并将整合到Google应用的“关于您的结果”部分。任何拥有谷歌账户的人都可以查看谷歌的暗网报告。
目前,只有拥有Google One会员资格或订阅的用户才能查看暗网报告。官方文档指出,在设置个人资料后,Google会监控暗网,以便您了解自己的个人数据是否在数据泄露和泄露中被发现。在撰写本文时,这些报告已在46个国家/地区提供。
今天打开Google One应用程序时,弹出的横幅确认该功能“从7月底开始”将不再在应用程序中可用。
7月底,Google One将不再提供暗网报告。如需继续使用暗网报告,请参阅帮助文章了解详情。
所有拥有消费者Google帐户的用户都可以查看暗网报告。暗网报告与“关于您的结果”集成在一起,形成一个综合解决方案,帮助用户保护自己的在线状态。
关于您的结果功能可帮助您查明您的个人联系信息(例如您的家庭住址、电话号码或电子邮件地址)是否显示在搜索结果中。
根据Google关于此次转变的支持页面,这项免费服务将成为Google“关于您的结果”页面的一部分。在这里,您目前可以检查Google已编入索引的信息,其中包含您的家庭住址、电话号码或电子邮件地址等个人联系信息,并请求将其删除,以免出现在搜索结果中。Google表示,此举将创建一个“综合解决方案,帮助用户保护他们的在线状态”。
当然,互联网上已经有几项在线服务(包括付费和免费服务,如Have I Been Pwned?)会扫描暗网中的数据并向用户发送警报。例如ProtonMail也在监控暗网,向用户发出有关数据泄露的警告。但对于Google用户来说,将该公司的两项监控功能合并到一个地方以查看潜在的个人信息泄露,是有较大意义的。
这确实意味着,去年春季为1亿多付费Google One用户(每月1.99美元起)添加的两项福利都已被取消。上个月,谷歌宣布另一项新增服务——Google One的VPN服务将于今年晚些时候关闭。
这些不太可能是人们一开始就注册Google One的原因,但如果看到这些好处消失而价格却没有相应下降,可能会令人沮丧。
注册Google One的主要原因是为您的Google帐户获得更多存储空间,包括照片和Gmail存储空间。虽然还有其他好处——包括高级Google Meet视频通话功能、最多可与5人共享存储空间的能力以及Google日历中增强的预约安排——但没有一个是那么引人注目的。谷歌的Gemini驱动的AI功能可能是您会考虑付费的东西,但这些功能需要更高级别的Google One,起价为每月19.99美元。
“暗网下/AWX”曾多次报道全球最大的暗网导航网站“onion666暗网导航”,也多次提醒该网站的官方Telegram群组存在许多冒充群主的骗子。但据“onion666暗网导航”网站的站长兼管理员称,尽管大量骗子账号已经被封禁,但群组内仍存在大量的骗子,甚至有两个已经被踢出群组的骗子仍在继续行骗。
骗子长期冒充“onion666暗网导航”官方Telegram群主 受“onion666暗网导航”站长之托,“暗网下/AWX”再次对长期冒充“onion666暗网导航”官方Telegram群主的骗子进行曝光。
骗子账号之一:Telegram名称为”666 Onion“,账号为”@onion686“。
该骗子早已经被清除出群,但依旧持续冒充群主,搭讪新入群的小白,行骗话术”群里面有人私聊你吗“、”主动私聊你的都是诈骗犯“,这是典型的”贼喊捉贼“,但是依旧有人相信这是真的群主。
取得小白信任后,如果小白有什么需求,他会表示”认识圈内的熟人“,然后将熟人的账号推给小白,但基本上”那个熟人“就是骗子本人。
骗子账号之二(骗子推的所谓熟人):Telegram名称为”Admin服务“,账号为”@HQHS398“,介绍为”代付 订票 免税香烟 订房 接码,实名 wd数据 渗透 实名电话卡 币圈@HQHS398“。
从介绍看,确实似乎”涉足各个领域,无所不能“,从另一个侧面细品,”无所不能“的基本都是骗子。该账号负责行骗,小白需要任何商品,他都可以提供,在小白转完帐后,就没有然后了,聊天记录会瞬间被清,然后拉黑。
“onion666暗网导航”官方Telegram群组里多人被骗,据称从几百USDT到几千USDT不等。由于收益颇丰,这个骗子一直阴魂不散,持续在守株待兔,等待下一个上钩的有缘者。
类似的骗子账号还有”@Onioin6666“、”@Onioni668“、”@OnionI6688“、”@Onion6688“等等,类似的账号名称,相同的头像(“onion666暗网导航”的logo),骗术大体也一样。
Telegram群组里的常见骗术 Telegram群组里骗子云集,“暗网下/AWX”曾告诉读者TG里十有八九都是骗子,但据网络安全专家分析,中文Telegram黑产圈子里几乎99%都有诈骗的可能,”中国人就骗中国人“已经成为常态。以下是本站(anwangxia.com)罗列的常见骗子话术:
兄弟们好 本人今年21岁 有别墅有豪车,自己创业开公司!一个人忙不过来,真心需求几个队友!
多大年纪了还在原地踏步!浪费青春好玩吗!现在我这里需求几位“有拼劲”的哥们一齐盆满钵满!!!
想翻身的来,跟我搬砖两个月保证让你提宝马,无任何风险,套路,祝叶了解
打压全网所有路子,还没有找到象木的兄弟看过来了,简介了解,想要富就的捞偏门,财富自由,看签名了解,火速来人了🔥一单一结
2024新风口,再不来汤都喝不上,代两个兄弟年底提宝马。看我🐷业👍
日入过万不再是梦想!点击头像找我,开启成功之路!
新路子不等人,1U换1.5U,问问终究是好的,暴力賺差价,打工终究一辈子穷,别干流水线了,看过来了,来人👆一单一结
國內賺錢只會越來越難,來跟我學,多條腿走路沒壞處,月8W+,看煮頁
还有许多,这里不一一罗列,其实这些话术都大致差不太多,骗子号称有赚钱、捞偏门、财富自由的机会,大家走过路过不能错过。
这些话术,本文不做解释,相信这年头出来混的,大体还是会有点智商的。
在此,继续对在“onion666暗网导航”官方Telegram群组、”暗网下/AWX“官方Telegram群组行骗的骗子以及天底下所有的骗子说一句,诈骗是没有好下场的,世道有轮回,苍天何曾饶过谁。
前期报道:
请暗网站长注意,有骗子假冒”onion666暗网导航“旗下Telegram群主行骗
”onion666暗网导航“官方Telegram群再次发生诈骗事件,某群成员被骗5495个USDT
继续提醒,骗子长期冒充”onion666暗网导航“官方Telegram群的群主进行诈骗