另一个买卖被盗数据的暗网论坛DarkForums存在存储型的XSS漏洞,有组织声称已经渗透了该网站,并在X上发布了消息。
7月27日,@DarkWebInformer在X上发布推文警告称,DarkForums存在活跃的跨站脚本(XSS)漏洞。请勿使用该网站,它不安全且会泄露您的IP地址!并附了一个弹框截图,展示了当前的Cookie。“暗网下/AWX”根据该截图确认暗网论坛DarkForums存在XSS跨站漏洞。
随后,网络安全组织@NullSecurityX进行了回复,称DarkForums被NullSecurityX黑了:)但开玩笑归开玩笑,该推文在随附的视频中展示了Darkforums上发现的漏洞。并称祝大家渗透愉快,同时at了@DarkWebInformer。视频中,@NullSecurityX展示了其发布含有javascript标签的html代码后触发执行,并跳转至其X页面。
对此,BreachForums的新管理员hasan回复称,这不仅仅是DarkForums的问题,而是MyBB软件本身的问题。该软件存在大量CVE漏洞,简直令人难以置信。要真正解决这个问题,唯一的方法就是禁用大多数用户喜爱的功能。
hasan把这个问题归结于该论坛使用的开源PHP程序MyBB的MyCode功能存在的漏洞,他称,看来DarkForums和其他论坛并没有认真考虑他的方法,因为他们大多迅速忽视了安全问题,尤其是使用被称之为MyBB的这个所谓的“地雷阵”软件。
hasan称这无法预防,他看到BreachForums的明网和暗网门户,或者说那个任何人都能看到的蜜罐,也存在相同的问题,而他们当然没有禁用任何功能。
hasan表示,在此之前,我更倾向于效率而非美学。因为“美学”和纯粹的愚蠢,使用MyBB的论坛都没打算修复这个漏洞。因此需要一场呼吁尽快更换MyBB软件的运动,他的新论坛已经准备好进行更改了。
MyBB如何修复这个漏洞?hasan表示应该禁用相关功能,因为MyBB将这些功能硬编码在系统中,尤其是MyCode,即使安装了插件也无法阻止,因为MyBB的设计只允许通过其后台管理控制面板禁用MyCode。
hasan还透露,入侵DarkForums的人正在以200美元的价格出售数据库——这些数据目前在Roblox平台上流通。
NullSecurityX(NullSecX)的介绍 NullSecX自称是一家网络安全公司,根据其自我介绍,在NullSecX,他们助力企业始终走在不断演变的网络威胁环境的前沿。
通过主动识别和分析新兴漏洞与攻击,NullSecX提供及时的洞察和前沿的安全解决方案。NullSecX称自己的使命很简单:帮助您在威胁发生前就预见它们——以便您能够以信心和精准度保护您的数字资产。
NullSecX的LinkedIn在招募更多人加入NullSecX,称可以共同站在网络安全创新的前沿。
NullSecX还拥有一个Youtube页面:https://www.youtube.com/@NullSecurityX
DarkForums是什么网站 DarkForums是一个与BreachForums类似的暗网被盗数据交易论坛,声称可以提供任何目标的多种类型数据,以及来自全球65个国家(涵盖欧洲、亚洲、非洲、美洲、大洋洲等各大洲)的数据,均存储于此云端。
其在Telegram频道中表示,拥有⭐️军事文件数据库、⭐️完整公司数据库、⭐️文件扫描(身份证、驾驶证、护照)、⭐️消费者信息数据库、⭐️电话列表数据库、⭐️电子邮件列表数据库、⭐️外汇与加密货币数据库、⭐️赌场与游戏数据库、⭐️公民身份 & 社会保障号 & 税务识别号数据库、⭐️大型网站数据库……
据介绍,该网络犯罪分子使用的网站可以在明网(https://darkforums[.]st)与暗网(http://qeei4m7a2tve6ityewnezvcnf647onsqbmdbmlcw4y5pr6uwwfwa35yd[.]onion)同步访问,“暗网下/AWX”预计,FBI不会让其存在太长事件,未来也许会有国际执法机构对其的联合行动。
根据欧洲刑警组织的消息,经过法国警方和巴黎检察官领导的长期调查,与乌克兰同行和欧洲刑警组织密切合作,逮捕了世界上最具影响力的俄语网络犯罪平台之一暗网论坛XSS.is的其中一名主要管理员。
该暗网论坛拥有超过5万名注册用户,是被盗数据、黑客工具和非法服务的主要交易市场,也是俄罗斯三大顶级暗网论坛之一。长期以来,它一直是一些最活跃、最危险的网络犯罪网络的中心平台,用于协调、宣传和招募人员。
此次逮捕于7月22日在乌克兰基辅进行,是一系列协调执法行动的一部分,旨在收集证据和摧毁犯罪基础设施。
犯罪嫌疑人通过网络犯罪赚取数百万美元 该论坛的管理员不仅是一名技术操作员,而且据信在犯罪活动中扮演了核心角色。他作为值得信赖的第三方,仲裁犯罪分子之间的纠纷,并保障交易的安全。据信他还运营着thesecure.biz的jabber服务器,这是一款专为地下网络犯罪分子需求而设计的私人消息服务。
据估计,嫌疑人通过这些服务赚取了超过700万欧元(820万美元)的广告费和手续费。调查人员认为,他活跃于网络犯罪生态系统近20年,多年来与多个主要威胁行为者保持着密切联系。
法国警方持续数年的广泛调查 该调查由法国警方于2021年7月2日启动,2024年9月,案件在乌克兰进入行动阶段,法国警方调查人员被部署到当地,并得到欧洲刑警组织通过建立虚拟指挥所的支持。
经过为期四年的调查,本周又采取了另一项行动,在乌克兰基辅逮捕了主要嫌疑人。
作为调查的一部分,法国警方截获了Jabber服务器(thesecure.biz)上的录音,该服务器附属于XSS.is论坛,以方便网络犯罪分子之间的匿名交流。
欧洲刑警组织提供了协调支持 欧洲刑警组织在整个调查过程中提供了必要的行动和分析支持,促进了法国警方和乌克兰当局之间的信息交流和协调。
欧洲刑警组织还协助绘制了网络犯罪基础设施图谱,并将嫌疑人与其他主要威胁行为者联系起来。这种协作方式确保了快速、有针对性的响应,摧毁了犯罪平台,并阻止了通过该论坛进行的非法活动。
在本周基辅的执法行动中,欧洲刑警组织部署了一个移动办公室,以支持法国和乌克兰团队进行现场协调和证据收集。缴获的数据将进行分析,以支持欧洲及其他地区正在进行的调查。
IOCTA 2025报告强调了被盗数据市场的威胁 此次行动与欧洲刑警组织《2025年互联网有组织犯罪威胁评估》(IOCTA)的结果一致,该评估强调,蓬勃发展的被盗数据黑市是网络犯罪经济的关键驱动因素。
像XSS.is这样的平台使得被盗数据、黑客工具和非法服务的交易和货币化成为可能,从而助长了各种犯罪活动——从勒索软件和欺诈到身份盗窃和敲诈勒索。
IOCTA揭示了此类暗网市场如何通过提供访问、匿名和信任机制来支持网络犯罪分子的运作。
以下部门参与了调查:
法国:巴黎检察官(Parquet de Paris – JUNALCO)、法国警察 – 巴黎警察局(Police française – Préfecture de Police de Paris – Brigade de lutte contre la cybercriminalité) 乌克兰:乌克兰总检察长办公室(Офіс Генерального Прокурора України)、乌克兰安全局 – 网络犯罪部门(Служба безпеки України – Кібердепартамент) 犯罪社区引起轰动,但影响有限 根据X用户@3xp0rtblog的推文,XSS.is论坛社区正在积极讨论这一情况。
不过,版主似乎正在删除所有讨论管理员LARVA-27的内容。版主LARVA-466(Rehub)在 Telegram 聊天中证实了这一点。这样做的目的是压制任何可能将局势变成有新闻价值事件的叙述,并在此过程中“钓”西方人。
不过,虽然XSS[.]is域名显示了查封通知,但备用明网域名xss[.]as、.onion网站(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)和位于thesecure[.]biz的Jabber服务仍在线运行。
因此目前看来,执法行动逮捕了XSS[.]is的一名管理员,并扣押了XSS[.]is域名,但并没有捣毁其包括服务器在内的基础设施,似乎XSS[.]is并没有被打倒,其在俄罗斯的庇护下依然活着,没有俄罗斯执法机构的配合,也很难完全被摧毁,西方执法机构仍需努力。
6月底,臭名昭著的专门交易被盗数据的暗网论坛BreachForums再次被警方摧毁后,在管理员hasan的努力下,新的BreachForums克隆版breached[.]ws上线继续运营。BreachForums的新管理员hasan近期依旧活跃,他在X上讲诉了自己的心路历程,并为新的BreachForums寻找投资者。
与此同时,执法机构正在努力,除了X(Twitter)外,hasan的Telegram、Snapchat、Instagram均被禁用;BreachForums的新域名也被服务商暂停解析,网站目前无法正常访问。
hasan讲诉了自己的心路历程 hasan在X上称想花一点时间谈谈我还没有谈及的事情,主要解释了自己为什么要做这些事情。随着执法部门的打击,BreachForums的域名已被查封,篡夺者到处都在尽其所能地践踏它的遗产,BreachForums面临着严重衰落,而他所做的是不希望这个社区面临这种情况。
hasan称自己这样做并不是为了钱,也不是为了权力,更不是为了给互联网人士留下深刻印象。hasan表示,一年前,他完全退出了他参与的另一个社区,直到后来加入了一个感兴趣的社区小组,在那里他遇到了IntelBroker,并在IntelBroker的帮助下完成了自己的项目(detrace[.]org),这让他非常感动,因为IntelBroker为他的项目提供了全部资金。正因为如此,hasan说自己才愿意为IntelBroker的遗产和IntelBroker认为的朋友圈服务,尽管所有人可能会误会自己是一个邪恶的人,试图将IntelBroker的所有权力据为己有。
hasan称自己不是最好的领导者,不是最好的破坏者,也不是最好的叩问者,或者别人可能想看的任何资格。hasan说自己只是来为社区服务,并计划为BreachForums做很多事情,他相信这些事情可以改变这些论坛的安全处理方式。另外hasan称尽管他已经在这个论坛上花了很多钱,但当他对目前的运行情况感到满意的时候,他还是会将其付诸投票,社区可以自己选择它想要寻找的领导者或领导者团体,如果不是他的话,他会辞职并交出所有的权力。
hasan表示自己对BreachForums社区怀有最大的敬意、忠诚和热爱,大家需要在困难时期团结在一起,这样BreachForums才能战胜所有敌人,最终回到它的黄金时代。
hasan为新的BreachForums寻找投资者 7月20日,hasan在X发布推文称,BreachForums正在为论坛寻找潜在投资者,最好所有费用都不要由他承担,他在推文中先表示感谢。一旦找到投资人,他将删除此推文。
此外,hasan还在寻找另外的投资人,投资一个域名净值在15000美元左右的电子邮件服务。
BreachForums的新域名被服务商暂停解析 因为被执法机构投诉滥用,BreachForums的新域名被域名注册商Epik暂停解析。hasan称其团队试图拯救这个域名,但最终以失败告终,接下来他们将会把域名转移到另一家注册商。
hasan向执法部门挑衅道:“世界上的绿帽子们,只要我还活着,你们就别想呼吸。”并表示,在接下来的两三天内,他还将添加一些其他域名。
Epik反馈的具体的投诉内容:
尊敬的Epik滥用团队,
我写信是正式报告域名breached.ws,该域名目前通过您的nameservers注册,并且据称被用于非法和不法活动。该域名被用作论坛,广为人知为“Breachd”或“Breachd Forums”,该论坛广泛用于托管和分发被盗数据,促成未经授权访问受损系统,并推广其他形式的网络犯罪。该论坛作为一个市场和沟通平台,供网络罪犯使用,论坛中有大量公开宣传非法服务和内容的帖子,包括但不限于:
出售被盗的个人和财务数据(PII、银行信息、密码) 从受损网站中泄露的数据库 漏洞利用和恶意软件分发 黑客服务招聘 breached.ws的持续运营明显违反了您的《可接受使用政策》,并很可能违反了多项有关网络安全、数据隐私和犯罪法规的法律。我恳请Epik调查此域名,并尽快采取适当行动,暂停或终止对该注册人的服务。
如果您需要任何进一步的信息或支持性证据,我很乐意提供。
感谢您对此紧急事项的关注。
我们很感激您在这件事上的理解和合作。
此致
上个月底,臭名昭著的专门交易被盗数据的暗网论坛BreachForums再次被警方摧毁,ShinyHunters、Depressed、Hollow(Anastasia)和IntelBroker等多名管理人员在法国被逮捕。然而,这并不影响网络犯罪分子追寻自由的心,“暗网下/AWX”发现,进入七月份,两个新的BreachForums论坛如同雨后春笋,正在生根发芽。
新的BreachForums克隆版breached[.]ws已上线 7月1日,管理员Hasan和thej在Telegram频道发布消息,新的BreachForums克隆版已上线,该网站似乎是从零开始建立的,拥有全新的外观,没有前一版本的用户数据或旧主题帖子。
新的BreachForums克隆版的访问地址为:
明网:https://breached[.]ws/
暗网:http://breachy72uc3rgraqpvfnb6dglhbcy7niqpmjdlseewzgpq4vifmmuyd[.]onion/
新论坛设置了新的规则,那就是禁止发布有关9-Eyes政府数据泄露相关的帖子。管理员Hasan估计,这一限制可能会减少10-20%的收入,但他认为这是保持论坛在线而又不引起直接执法行动的唯一办法。听起来像是一个全新的开始?但也许不是……FBI的执法似乎不仅针对泄露政府数据。
然而,就在一天后,一个名为“test55”的用户在新的网站上发布了一个主题,声称他们通过图片处理利用了一个SSRF(服务器端请求伪造)漏洞,从而获得了新论坛所在服务器的IP地址(86.54.42.86)与网站所有访问者的IP地址。
Hasan对breached[.]ws存在漏洞做出回应 Hasan称,昨天一个随机的“威胁行为者”试图访问被攻破的breached[.]ws的后台,或者说是自己曾经认识的一个人,但该人知道真实的后台IP。
长话短说,该人试图通过服务器端请求获得访问权限,而这恰恰是毫无道理的,因为这只会得到他已经得到的东西——IP。
Hasan表示,有趣的是,在这个过程中,他的DNS缓存泄露了,他的IP也泄露在了处理恶意活动和DDoS Guard的CDN的访问日志中,他还自爆了身份,试图羞辱Hasan和Hasan的团队。
Hasan说发现该人的IP属于巴西的Db3 Servicos De Telecomunicacoes S.A。他是巴西人,这一点也不奇怪。他的CIDR IP地址子网是45.179.224.0/24。
Hasan说这证实了此人为被他抛弃的巴西人,这有点令人讨厌,之前,他曾与5个不同的开发人员一起开发网站的WIP。
此外,Hasan还解释了为什么访问日志会记录IP或DDoS guard等服务。他说每个网站都会记录 IP,这是标准做法,尤其是当用户使用DDoS Guard或CDN等保护时。日志用于检测可疑活动,比如有人试图通过开发工具窥探后台。但他保证breached[.]ws的日志每24小时会被清除一次,所以不用担心。
对于MyBB邮件SSRF漏洞(CVE-2025-29459)并未在6月份的1.8.39更新中得到修复,出于其他安全原因,Hasan称将禁用BreachForums上的邮件功能,因为同步和修改MyBB软件会影响其自带的其他功能。
针对存在可能存在其他漏洞的问题,Hasan回应称“我将添加最后的更新,那就是shoutbox,我已经限制了大部分(如果不是全部的话)CVE,否则我可以在未来最终得到证明,如果在我们更换软件之前出现了什么问题,之后我们将在论坛上工作人员OG的帮助下上传我能找到的旧数据库。“
Hasan称breachforums[.]info是一个假冒 Hasan还描述了另一个消息,称Anti-Extortion Network的创始人联系了他,告诉他一个显而易见的事实:http://breachforums.info是一个假冒的BreachForums克隆版,他们的管理员Jaw不是原RaidForums的Jaw,这一点他们之前已经知道很多次了。
Hasan说但是他不知道假冒网站管理员Jaw竟然有来自RaidForums的Jaw的真实联系方式,但他很快就会发消息说明他们是如何使用Jaw的化名的。Hasan称如果想获得更多证据,可以直接通过@v6kp7qx90njz55yru71x6fdwz0联系Bear,这是他的Telegram账户。
目前唯一的BreachForums域名是http://breached.ws,也许即将出现的许多其他域名,Hasan表示已经走了很长的路,将通过扩大其员工团队来使自己合法化,其员工团队将包括大家眼中的导师以及让BreachForums成为BreachForums的作者(发布被盗数据的网友)。
仿冒论坛breachforums[.]info于7月1日开启 鉴于BreachForums的知名度极高,于是假冒的BreachForums论坛前赴后继的产生然后覆灭,本站之前曾报道过新出现的假冒BreachForums论坛breached[.]fi。
该论坛创始人Jaw在论坛上线的时候发布了主题帖“我们回来了——更强大、更聪明、更有韧性”,称“你们很多人都认识我–我叫Jaw。今天,我正式宣布,我们中的许多人都称之为家的地方回归了:BreachForums”。具体帖子内容如下:
首先,请允许我向选择回来帮助我们重建的各位致以诚挚的谢意。你们的忠诚、坚韧和对社区的承诺远非言语所能表达。
发生了什么——我们的立场
正如你们许多人所听说的,ShinyHunters和IntelBroker已被逮捕。在此过程中,当局查封了所有服务器基础设施,包括数据库、源代码和用户数据。联邦调查局和法国执法部门现在已经掌握了之前论坛的全部数字足迹。
让我明确一点:旧论坛的所有内容都已泄露。
这对你意味着什么
如果您要返回,请重新开始。
新的用户名。
新的 OPSEC。
不要重复使用任何以前的用户名、PGP 密钥或标识符。
我们已经看到了人们过于安逸的后果。不要重蹈覆辙。
澄清MyBB传闻
有人猜测此次漏洞使用了所谓的MyBB 0-day漏洞。这种说法是错误的。
只有IntelBroker可以直接访问后台和源代码。“0-day”谣言只是一个烟雾弹,是ShinyHunters转移视线的一种手段,目的可能是争取时间和转移视线。但真相已经浮出水面。
继续前进
我们都吸取了一些惨痛的教训。我们不会忽视它们。
这次重建不仅仅是将碎片重新组合在一起,而是要创造出更强大、更智能、更安全的东西。我将全力以赴,采取一切必要的措施来保护这个社区,确保我们的重建工作不会重蹈覆辙。
这是一个新的篇章——对于那些准备参与其中的人,我欢迎你们。
我们重建。一起重建。
仿冒的BreachForums的访问地址为:
明网:https://breachforums[.]info/
暗网:http://gtihui3n5rijtibu4knip53wopp2teaxa2zphr66bi2yivb5fiekb6id[.]onion/
如果breached[.]ws是正宗血统BreachForums的传承,那这将会是第四版BreachForums,第四版BreachForums的命运将如何,会不会像Hasan所言的合法化运行,“暗网下/AWX”将继续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
臭名昭著的暗网论坛BreachForums自今年4月起再次在明网与暗网同时消失,紧接着谣言与诈骗四起。昨日,事情逐渐明朗,法国媒体《巴黎人报》率先援引警方消息报道,法国警方逮捕了臭名昭著的BreachForums黑客论坛的五名成员,其中包括与发布大公司被盗数据有关的知名成员。
该网站是全球最活跃的地下数字交易市场之一,用于买卖被盗数据。此次执法行动在法国各地同步进行。
此次逮捕行动由巴黎警察总部网络犯罪大队的特种警官执行。该报道还指出,尽管此前BreachForums被推测与俄罗斯有联系,但被捕者均为欧洲人。据称被捕的五名成员中,四人于周一被捕,而该组织的第五名成员,即“IntelBroker”,早在今年二月份就已经被捕。
IntelBroker于今年二月份被捕 美国已经起诉了另一名BreachForums成员IntelBroker,又名Kai West,他于今年2月被法国执法部门逮捕。法国巴黎检察院的一份新闻稿称,“IntelBroker”是英国公民。
IntelBroker是“暗网下/AWX”梳理的暗网论坛BreachForums的第五位管理员。IntelBroker在BreachForums论坛上发布被盗数据的历史可谓丰富多彩,其中包括2023年3月从DC Health Link窃取的国会议员个人身份信息、 2023年11月从通用电气公司窃取的个人信息(包括国防高级研究计划局(DARPA)的文件)、2024年6月从超微半导体公司(AMD)窃取的个人信息以及2024年1月从惠普企业公司窃取的个人信息。
IntelBroker面临多项与非法网络攻击活动相关的指控,造成的损失超过2500万美元。他即将被引渡到美国,可能被判处最高50年监禁。
Sophos Field首席信息安全官Aaron Bugal对这种协调一致的执法行动表示赞赏。“虽然清除这些犯罪网站看起来像是一场永无止境的猫捉老鼠游戏,但网络犯罪分子已经意识到,任何网站或活动都无法逃脱调查,执法部门追捕他们只是时间问题。” Bugal补充道。
本周另外四名BreachForums成员被捕 本周被捕的四名BreachForums成员包括ShinyHunters、Hollow、Noct和Depressed,这四名犯罪嫌疑人年龄在二十多岁左右,本周早些时候被法国网络犯罪大队(BL2C)拘留。
其中,ShinyHunters最为知名,也是“暗网下/AWX”梳理的暗网论坛BreachForums的第三位管理员,曾经号称因为厌倦了运营这个臭名昭著的黑客论坛的压力而选择退休。
法国当局指控黑客“ShinyHunters”、“Hollow”、“Depressed”和“Noct”参与了针对法国多家大型机构计算机系统的攻击,其中包括电子巨头Boulanger、运营商SFR、France Travail和法国足协。ShinyHunters此前曾参与入侵AT&T、必胜客和Ticketmaster等公司。
与 IntelBroker 一样,ShinyHunters 的名字也多次出现在BreachForums上与被盗数据相关的事件中。ShinyHunters发布的数据记录包括:2020年7月来自金融服务供应商Dave Inc. 的750万条记录、 2021年1月来自Pixlr的180万条记录、 2021年1月来自约会网站MeetMindful的记录、2021年4月来自5.33亿Facebook用户的记录,以及2024年6月来自Advance Auto Parts Inc.的3TB数据。
五人可能都面临严重的监禁 目前尚不清楚具体的指控,BreachForums的各位管理员与主要成员究竟是真正的黑客攻击的幕后黑手,还是充当了买卖被盗数据的中间人,又或者两者兼而有之,也一直是个谜。就ShinyHunters的案例而言,两者兼而有之的可能性很大,因为去年7月的一份报告显示,AT&T公司曾向ShinyHunters支付了37万美元的比特币,以阻止被盗信息的泄露。
无论他们被指控什么犯罪,考虑到BreachForums的运营范围以及被窃取、出售或发布的数据量,这五人都可能面临严重的监禁。
BreachForums是一个臭名昭著的交易黑客数据和网络犯罪工具的中心,该暗网论坛已成为全球被盗数据交易的中心枢纽,为数百万敏感信息和个人凭证的出售提供了便利。此次对网络犯罪基础设施的打击凸显了国际合作在打击跨国数字威胁方面日益重要。
BreachForums的创始人,第一位管理员来自美国的康纳·布莱恩·菲茨帕特里克(Conor Brian Fitzpatrick)已经于2023年3月被美国联邦调查局逮捕,该暗网网站第一版于2024年5月被FBI查封并下线。同月晚些时候,该网站在第二位管理员Baphomet与ShinyHunters的合作控制下重新上线。
BreachForums被捕的各位管理员与主要成员的后续判决,“暗网下/AWX”将继续关注。
在BreachForums论坛毫无征兆的突然销声匿迹后,自称为BreachForums管理员Anastasia创建了模仿BreachForums的论坛Breached[.]fi,并称该网站与已关闭的breachforums[.]st有关,但“暗网下/AWX”已经鉴定这是一个仿冒的虚假网站。这几日,有关Breached[.]fi的戏剧性故事很多。
一、Breached[.]fi似乎被黑 一个名为“krekti”的威胁行为者在一个暗网论坛上发布了一篇帖子,声称https://Breached.fi的数据泄露,泄露的数据库语句包含属于Anastasia的重要账户信息,其中包括:
电子邮件 密码哈希值和盐 IP、登录信息和用户表其他数据项 从该泄露数据看,“Anastasia”在数据库里的邮箱是”[email protected]“。
二、Breached[.]fi创建者发布的假消息 在Breached[.]fi创建时,“Anastasia”称BreachForums论坛再次被查封, 管理员被捕,导致该论坛关闭。“Anastasia”的最后一条信息称:
IntelBroker和Shiny已被逮捕 预计联邦调查局将很快发表正式声明 Anastasia已“辞职”,并宣布BreachForums论坛“永远关闭” 最后一次数据库备份时间是2025年4月10日 论坛的基础设施(源码数据库)以2000美元的价格出售 才创建几天,假冒论坛的管理员就宣布出售,这骗局显得比较低端。该管理员还表示自己已退出该论坛,并考虑永久关闭BreachForums论坛。
查询Breached[.]fi这个新域名的Whois记录,发现该域名创建于2025年4月17日,注册商为immateriali[.]sm。本站(anwangxia.com)发现,假冒网站Breached[.]fi同步也在Tor网络创建了一个暗网网站:http://72qsaxh7zurdhttakrjp6trnhgwozb6oszk7rzyfl6twrfzjxzazdzqd.onion,经测试目前Breached[.]fi的明网与暗网网站都无法打开。
有人说,在经历了多年的销售被盗数据、企业漏洞和高调泄密之后,暗网上的这一著名论坛似乎即将结束。不过”暗网下/AWX“认为,尽管执法部门在打击网络犯罪生态系统方面不断取得进展,但猫鼠游戏远未结束,似乎BreachForums的戏剧将永远流传下去……
在每日的常规访问中,“暗网下/AWX”发现,暗网中最臭名昭著的数据泄漏平台BreachForums已经无法访问。经历了多次被执法机构查封后,目前的BreachForums已经是第三版BreachForums,本站(anwangxia.com)去年曾经详细介绍了三个版本的BreachForums以及它的五位运营管理员。
这次无法访问的原因是什么?“暗网下/AWX”试图在Telegram以及X上的威胁情报专家那里寻找答案,目前获得了两个答案,此外还有一个诈骗消息。
传言一:BreachForums遭受了持续的DDoS攻击 名为“Dark Storm Team”的组织在其Telegram频道以及X上声称对BreachForums论坛(breachforums[.]st)发起了DDoS攻击,并给出了全球无法访问的证明:https://check-host.net/check-report/24feb258kb46
We visited Breach forums platform
❌https://t.co/qC8K6eGU3k 🌟https://t.co/r2O4wD4Ls3
For fun.#DARKSTORM
— Dark Storm Team (@EssamGgggg) April 15, 2025 关于BreachForums论坛遭受DDoS攻击的消息不绝于耳,“暗网下/AWX”认为这种可能性也比较高,因为在明网或基于Tor的暗网网站都没有显示扣押横幅,这不符合FBI的行事风格,如果被查封,一般情况下,执法部门要么将其当作蜜罐来继续运行,要么会修改DNS指向显示扣押横幅的页面。
此外,BreachForums论坛的明网域名(breachforums[.]st)的Name Server目前指向了“ns1.ddos-guard.net”与“ns2.ddos-guard.net”,也似乎证明了其背后的技术团队正在采取措施来抵抗目前正在遭受的DDoS攻击。
传言二:BreachForums再次被查封,IntelBroker已被逮捕 Telegram频道中流传的另一个未经证实的说法称,BreachForums论坛可能已再次被执法部门关闭。其中一个群组中发布的一条消息称,BreachForums论坛中的现任管理员IntelBroker已经被逮捕。同一帖子还称,该论坛将会在一个新的域名下重新启动。
正如前面所说,访问该网站并没有显示FBI经典的“查封”页面,意味着该网站可能只是被下线,而不是被正式查封。
虽然消息来源的可信度仍不确定,但该Telegram频道宣称将很快会分享更多细节,虽然“暗网下/AWX”认为该消息不可靠,但还是让我们拭目以待。
开设第四版BreachForums论坛的谣言是典型的诈骗 另外,广泛流传的图片显示:BreachForums论坛已经被关闭,所有管理员也被逮捕;目前第四版BreachForums论坛已经重新开启,但是关闭了注册,如果需要重新注册,需要支付门罗币(XMR),支付后可以联系开设账号。
这是一个明显的诈骗消息,“暗网下/AWX”提醒广大网友注意甄别。BreachForums论坛未来会怎样,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
Dread是暗网最大的英文论坛,也是暗网最大最活跃的论坛,也是暗网存活时间较长的论坛。2月15日,Dread管理员HugBunter发布带有PGP签名的公告,庆祝Dread论坛的7周岁生日。
“暗网下/AWX”多次介绍,Dread是一个类似Reddit的暗网论坛,主要发布有关暗网市场的新闻和讨论。该暗网论坛由HugBunter于2018年初开发,并于2018年2月15日推出,长期以来,该论坛有2名管理员,分别使用化名Paris和HugBunter。Dread论坛参考Reddit样式进行开发,并在开发时充分考虑了隐私性和可用性。任何用户都可以申请创建自己的子版块,从而成为版主;版主控制允许发布哪些类型的帖子,如果他们认为用户违反了规则,他们可以禁止他们访问自己的版块。
Dread论坛的暗网V3地址是:
http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion
HugBunter发布的公告标题为“Dread生日快乐!整整七年!”,在公告中,该管理员表示,简直不敢相信,7年过去了,Dread仍然坚挺地站在这里。从他开发的一个小项目开始,Dread论坛成为了有史以来最大的暗网论坛,虽然前几年Dread经历了重重困难,但依旧能继续为暗网社区提供重要的服务。
HugBunter在公告中感谢所有Dread的工作人员、子论坛版主和用户,称是大家的支持让Dread论坛在每年面临最困难的问题时仍能保持正常运转。
HugBunter称,这篇公告写得很短,因为他比较忙,本来有很多计划要完成,但被本周的服务器问题和其他事情耽搁了。HugBunter请大家拭目以待,表示接下来会有很多令人兴奋的事情发生,这些事情将极大地改善这个平台,这将是其多年来所做的最大一次更新,将涵盖大家所关心的很多问题,对论坛质量的改善将是巨大的。
HugBunter最后再次感谢所有人的努力,让这个平台有了今天,感谢用户一直以来的支持,并提醒大家“注意安全”!
Dread论坛深受暗网网民欢迎最大的原因是Tor网络的匿名性,许多热门子版块都涉及非法或其他有争议的话题,网络犯罪分子确实会在某些子版块中讨论他们的活动。但Dread论坛其实也有许多无害的子版块,比如关于如何从事金融投资的子版块,还比如关于流行视频游戏的子版块。正如本站(anwangxia.com)总结,Dread暗网论坛是一个基于Tor网络的真正言论自由的平台。
HugBunter在公告中提到的重重困难,大概是指,在2022年到2023年期间,网络黑客利用Tor协议漏洞,针对Dread论坛和其他暗网市场发起了大规模拒绝服务攻击(DDoS),当时“暗网下/AWX”持续进行了跟进,并多次报道了Dread论坛的关站以及升级防护的措施直至成功回归。Dread论坛经过重新开发,变得更加稳定,主界面和UI完全重新设计,提供了更大的灵活性,于是深受暗网用户的欢迎。
在公告的回复中,许多用户都在庆祝Dread的7周岁生日,祝福Dread可以继续服务更多年,同时感谢管理员Paris和HugBunter的努力,希望再接再厉。对于Dread未来的发展,“暗网下/AWX”将继续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
近期,有网友向本站(anwangxia.com)发送一个名为Rootexploit的新暗网论坛,希望予以鉴定。按照惯例,“暗网下/AWX”进行了一次探访,发现Rootexploit是一个正在酝酿中的暗网论坛,虽然在X平台有一些宣传,但是该论坛目前依旧没有人气。
Rootexploit暗网论坛的暗网V3域名以root作为前缀:
https://root67ae74xjxjhrsdde3fcoajocwn6hbk2mrgxmn2uq2pvvfgl7uqid.onion
初步看来,Rootexploit暗网论坛于2025年1月4日左右创建,建站时间比较短,毫无知名度。众所周知,暗网论坛Dread是专门对暗网市场、暗网论坛综合评估的专业论坛。在Dread进行搜索,并未发现Rootexploit网站的子版块或者有关Rootexploit网站的任何讨论。
“暗网下/AWX”尝试访问该暗网域名,发现与大多数暗网论坛类似,该网站亦是使用开源论坛程序XenForo搭建。XenForo是一款用PHP编程语言编写的互联网论坛软件包。该软件由前vBulletin首席开发人员Kier Darby和Mike Sullivan开发。XenForo的第一个公开测试版于2010年10月发布,稳定版于2011年3月8日发布。XenForo程序历史悠久,因此在十多年的历史沉淀后,鲜有漏洞,相对而言比较安全。
该网站需要注册才能进入访问,与大多数暗网网站不同的是,尽管是初建网站,注册功能居然设置了邮箱验证,即新用户需验证邮箱才能进入该论坛。经“暗网下/AWX”测试,发送验证邮件的邮箱地址是[email protected],SMTP服务器IP为209.85.216.44。从这点看,该暗网论坛的管理员的OPSEC能力还需加强,强制验证邮箱,既暴露自身的信息,也容易暴露用户的真实信息。在暗网中发展,此为大忌。
Rootexploit暗网论坛主要分为三个大版块:Rootexploit的回声、黑客与漏洞利用、漏洞和CVE漏洞利用,其中“Rootexploit的回声”又包含Void公告、Void更新、Void更新日志和Rootexploit起源4个子版块,“黑客与漏洞利用”包含黑暗面工具库、逆向工程实验室2个子版块,“漏洞和CVE漏洞利用”包含GitHub漏洞库、CVE数据库、CVE漏洞利用教程3个子版块。
由于论坛新建,从主题帖看,目前该论坛仅有4篇主题帖,其中两篇为管理员发布:“更新日志-1:解决用户注册错误”、“Rootexploit 论坛更新 – 隐形 IRC”,均为论坛功能调整;另两篇为用户searchonion发布的有关木马相关的:“Nexus安卓银行木马僵尸网络”、“Spyroid Rat VIP V2 源代码”;从回复看,仅有7篇回复;从注册用户分析,目前该论坛仅有70名注册用户。
查看管理员发布的公告内容,“更新日志-1:解决用户注册错误”公告解决了用户注册时的验证码bug:
亲爱的 Rootexploit 会员
在论坛上报告错误会让我们很高兴,我们会马上解决这个错误,您现在就可以毫不犹豫地注册账户了。
更新日志: 永久删除注册部分的非人类 Recaptcha。
如果您发现任何错误或问题,请通过此邮件 ( [email protected] ) 向我们报告,谢谢。
“Rootexploit 论坛更新 – 隐形 IRC”公告宣布了新的聊天功能插件:
亲爱的会员
现在您可以在论坛中聊天了,这将使您更容易与人讨论和了解。
特点
与用户全球聊天 创建自己的公共聊天室 创建自己的私人聊天室 与用户进行私人对话 自动删除模式 安全性
不存储任何信息 不存储日志 信息完全加盐加密 采用端到端加密 查看首页的聊天室,内容较少,主要是一些求合作的广告,似乎还有中文!
总体而言,由于Rootexploit暗网论坛是今年新创建的论坛,目前并没有访问价值,更无法判断是否为诈骗网站或者以后会不会退出骗局。至于该暗网论坛能否发展,“暗网下/AWX”将持续关注。
”暗网下/AWX“长期追踪的臭名昭著的BreachForums,是一个拥有蓬勃发展的网络犯罪社区的封闭暗网论坛,访问该暗网网站,可以了解暗网数字黑市上销售的产品和服务。本文仅用于教育目的,不鼓励使用暗网。
什么是暗网 本站首先解释一下暗网和网络犯罪论坛的含义。暗网是互联网的一个隐藏部分,只能通过Tor等专注于用户匿名性的特殊浏览软件访问。
暗网既是合法用途的中心,例如注重隐私的浏览,也是非法活动的中心,包括出售被盗数据、毒品、武器、服务和其他违禁品。
暗网上的网络犯罪论坛是黑客、诈骗者和其他犯罪分子交换信息、工具和服务的社区,通常涉及加密货币以促进匿名交易。
BreachForums是什么网站 BreachForums的前身是葡萄牙黑客Diogo Santos Coelho于2015年创建的RaidForums。RaidForums最初是一个专注于“袭击”网站和在线空间的社区,以恶作剧、挑衅或在线破坏的形式出现。
然而,随着网站上的黑客开始入侵社交媒体平台和网站并窃取数百万用户凭证,他们开始将这些凭证卖给出价最高的人。RaidForums迅速发展成为暗网上最复杂、最成熟的有组织犯罪活动中心之一。
Binance users KYC data seems to be on sale on the dark web now
alleged github hack leak pic.twitter.com/SPjGQPsIlS
— otteroooo (@otteroooo) February 4, 2024 2024年2月币安遭遇黑客攻击后,BreachedForums是第一个出现出售用户KYC详情的地方;同年4月,萨尔瓦多州使用的比特币ATM代码被泄露,该代码也出现在BreachForums上出售。
该网站开始吸引网络犯罪分子购买企业安全漏洞中的敏感信息,甚至是泄露的政府文件,这使其成为国际执法工作的重点。
2022年,欧洲刑警组织和美国情报机构合作查封了该网站,并确定并逮捕了创始人迪奥戈·桑托斯·科埃略(Diogo Santos Coelho),他目前被英国拘留,等待因网络犯罪指控被引渡到美国。
RaidForums很快被一个名叫PomPomPurin的用户重新建立为BreachForums,此人于2023年被FBI逮捕,该网站被另一个名叫Baphomet的用户接管。2024年5月,联邦调查局查封了BreachForums,但此后该网站的克隆版本再次出现。
虽然该暗网论坛仍然活跃,但正如”暗网下/AWX“之前的介绍,许多暗网用户猜测,该暗网网站可能是美国联邦调查局设置的一个“蜜罐”或陷阱,目的是监视网络犯罪分子并揭露他们,以对其进行起诉。
在暗网犯罪中心BreachForums论坛上发现了什么 进入BreachForums论坛后,可以一眼看到大量的非法网络活动。虽然一些网络犯罪论坛采用更隐蔽的方式,例如将自己伪装成IT和网络安全爱好者社区,但BreachForums论坛从未做出任何努力来掩盖自己的真实性质。
例如主页上有用户以10000美元的价格提供MS13或La Mara Salvatruca黑帮的暴力服务,但是像所有涉及暴力的暗网帖子一样,这更可能是骗局,而不是真正的要约,但非法活动并不止这些。该网站的滚动聊天框还显示用户实时讨论论坛市场的销售情况,该市场上有很多卖家提供非法产品,如被盗数据、银行欺诈和信用卡欺诈教程、IP跟踪等等。
当然,也有一个对动漫和漫画欣赏的主题,因为即使是网络犯罪分子也有爱好。
BreachForums论坛的最新帖子都是在最近几小时内发布的,表明该暗网论坛的活动仍然非常活跃,尽管人们推测该社区受到了执法部门的严密监视。如有用户正在出售从Paramount Plus和Netflix等在线视频流媒体平台到被攻破的OnlyFans账户的访问权限。
”泄露数据“子版块中的帖子显示,用户正在出售各种各样泄露的数据,包括各公司高管的电子邮件登录信息,阿联酋、印度、卡塔尔和沙特阿拉伯的身份证件,以及从沙特阿拉伯军方电子邮件中窃取的文件和图像。
根据我们的初步调查,最近这次泄露的军事文件似乎是真实的,但同时也表明它来自2016年,这表明该用户试图将旧的泄露信息冒充为新的信息,这是网络犯罪分子在网上进行诈骗的众多例子之一。
一位用户声称自己独家获得了澳大利亚医疗保险MedBank泄露的信息,而澳大利亚的MedBank确实在2022年被俄罗斯网络犯罪分子入侵,970万澳大利亚人的个人信息被窃取。
与暗网以雇佣杀手而闻名的帖子不同,这些文件和身份信息的泄露是非常可信的,因为BreachForums论坛创建的主要目的确实是出售这种性质的被盗数据,而且多年来生意一直很红火。
然而,随着执法部门的屡次查封和逮捕,其中一些帖子可能也是联邦调查局或其他机构为抓捕犯罪分子而设置的陷阱蜜罐。
在BreachForums论坛上找到的服务 除了窃取数据外,勤奋的网络犯罪分子还在暗网上提供各种出租服务,并且总是以加密货币作为支付方式。
在BreachForums上,可以发现有用户声称提供DDoS服务,即分布式拒绝服务攻击,犯罪分子利用僵尸网络阻塞目标网站的运营,以向受害者勒索钱财、攻击竞争对手或仅仅是为了报复敌人。
一个网络犯罪开发者在线群组发布了一则HNVC或隐藏虚拟网络计算服务的广告,这些服务可用于远程访问受害者的计算机。
有趣的是,该帖子与合法在线服务的广告非常相似,列出了可用的功能和定价选项的详细列表,并提供俄语和英语的客户支持。
其他服务包括接码服务,即提供电话号码的服务,允许犯罪分子接收登录代码以激活在线帐户,而无需表明身份或自己的电话号码。
在BreachForums上,可以发现群发电子邮件发送者用于非法大规模营销产品、网络钓鱼诈骗或其他恶意软件活动,还看到了电子邮件轰炸者的广告,他们用于堵塞目标的电子邮件收件箱,以使电子邮件无法使用或隐藏恶意活动(例如尝试登录的警告)。
其中一名垃圾邮件发送者不辞辛劳地创建了一个看似由人工智能生成的横幅广告和其服务的标志,这里对其名称进行了隐藏,以免宣传其服务。
在BreachForums的某个版块,多数帖子都致力于销售远程在线服务器访问权限、网络开发编程服务甚至图形设计服务,所有这些服务都可以用于创建复杂的骗局,例如欺诈性登陆页面以窃取受害者的用户数据。
当然,虽然其中一些服务可能是合法的,但其中大多数服务可能是假的,而且由于BreachForums网站多次被查封和重新开放,这里的账户都是两年以下的新账户。
网络犯罪论坛通常在托管的基础上运作,或者在信任的基础上运作,即用户有“诚实”销售的记录,而这个重新恢复启用的暗网网站几乎没有采取任何措施来防止诈骗。
在BreachForums论坛里,确实看到一些服务广告称他们接受托管付款,即由经过审查的第三方保管资金,直到双方对付款满意为止,如某个开发商提供预制钓鱼网站和登陆页面,允许托管交易。
愿意接受托管表明该用户确实在出售他们声称要出售的商品,尽管该网站上也可能存在许多涉及托管付款的骗局。
事实上,该网站上有许多完整的诈骗主题,显示了用户报告现场诈骗的日志。