上个月底,臭名昭著的专门交易被盗数据的暗网论坛BreachForums再次被警方摧毁,ShinyHunters、Depressed、Hollow(Anastasia)和IntelBroker等多名管理人员在法国被逮捕。然而,这并不影响网络犯罪分子追寻自由的心,“暗网下/AWX”发现,进入七月份,两个新的BreachForums论坛如同雨后春笋,正在生根发芽。
新的BreachForums克隆版breached[.]ws已上线 7月1日,管理员Hasan和thej在Telegram频道发布消息,新的BreachForums克隆版已上线,该网站似乎是从零开始建立的,拥有全新的外观,没有前一版本的用户数据或旧主题帖子。
新的BreachForums克隆版的访问地址为:
明网:https://breached[.]ws/
暗网:http://breachy72uc3rgraqpvfnb6dglhbcy7niqpmjdlseewzgpq4vifmmuyd[.]onion/
新论坛设置了新的规则,那就是禁止发布有关9-Eyes政府数据泄露相关的帖子。管理员Hasan估计,这一限制可能会减少10-20%的收入,但他认为这是保持论坛在线而又不引起直接执法行动的唯一办法。听起来像是一个全新的开始?但也许不是……FBI的执法似乎不仅针对泄露政府数据。
然而,就在一天后,一个名为“test55”的用户在新的网站上发布了一个主题,声称他们通过图片处理利用了一个SSRF(服务器端请求伪造)漏洞,从而获得了新论坛所在服务器的IP地址(86.54.42.86)与网站所有访问者的IP地址。
Hasan对breached[.]ws存在漏洞做出回应 Hasan称,昨天一个随机的“威胁行为者”试图访问被攻破的breached[.]ws的后台,或者说是自己曾经认识的一个人,但该人知道真实的后台IP。
长话短说,该人试图通过服务器端请求获得访问权限,而这恰恰是毫无道理的,因为这只会得到他已经得到的东西——IP。
Hasan表示,有趣的是,在这个过程中,他的DNS缓存泄露了,他的IP也泄露在了处理恶意活动和DDoS Guard的CDN的访问日志中,他还自爆了身份,试图羞辱Hasan和Hasan的团队。
Hasan说发现该人的IP属于巴西的Db3 Servicos De Telecomunicacoes S.A。他是巴西人,这一点也不奇怪。他的CIDR IP地址子网是45.179.224.0/24。
Hasan说这证实了此人为被他抛弃的巴西人,这有点令人讨厌,之前,他曾与5个不同的开发人员一起开发网站的WIP。
此外,Hasan还解释了为什么访问日志会记录IP或DDoS guard等服务。他说每个网站都会记录 IP,这是标准做法,尤其是当用户使用DDoS Guard或CDN等保护时。日志用于检测可疑活动,比如有人试图通过开发工具窥探后台。但他保证breached[.]ws的日志每24小时会被清除一次,所以不用担心。
对于MyBB邮件SSRF漏洞(CVE-2025-29459)并未在6月份的1.8.39更新中得到修复,出于其他安全原因,Hasan称将禁用BreachForums上的邮件功能,因为同步和修改MyBB软件会影响其自带的其他功能。
针对存在可能存在其他漏洞的问题,Hasan回应称“我将添加最后的更新,那就是shoutbox,我已经限制了大部分(如果不是全部的话)CVE,否则我可以在未来最终得到证明,如果在我们更换软件之前出现了什么问题,之后我们将在论坛上工作人员OG的帮助下上传我能找到的旧数据库。“
Hasan称breachforums[.]info是一个假冒 Hasan还描述了另一个消息,称Anti-Extortion Network的创始人联系了他,告诉他一个显而易见的事实:http://breachforums.info是一个假冒的BreachForums克隆版,他们的管理员Jaw不是原RaidForums的Jaw,这一点他们之前已经知道很多次了。
Hasan说但是他不知道假冒网站管理员Jaw竟然有来自RaidForums的Jaw的真实联系方式,但他很快就会发消息说明他们是如何使用Jaw的化名的。Hasan称如果想获得更多证据,可以直接通过@v6kp7qx90njz55yru71x6fdwz0联系Bear,这是他的Telegram账户。
目前唯一的BreachForums域名是http://breached.ws,也许即将出现的许多其他域名,Hasan表示已经走了很长的路,将通过扩大其员工团队来使自己合法化,其员工团队将包括大家眼中的导师以及让BreachForums成为BreachForums的作者(发布被盗数据的网友)。
仿冒论坛breachforums[.]info于7月1日开启 鉴于BreachForums的知名度极高,于是假冒的BreachForums论坛前赴后继的产生然后覆灭,本站之前曾报道过新出现的假冒BreachForums论坛breached[.]fi。
该论坛创始人Jaw在论坛上线的时候发布了主题帖“我们回来了——更强大、更聪明、更有韧性”,称“你们很多人都认识我–我叫Jaw。今天,我正式宣布,我们中的许多人都称之为家的地方回归了:BreachForums”。具体帖子内容如下:
首先,请允许我向选择回来帮助我们重建的各位致以诚挚的谢意。你们的忠诚、坚韧和对社区的承诺远非言语所能表达。
发生了什么——我们的立场
正如你们许多人所听说的,ShinyHunters和IntelBroker已被逮捕。在此过程中,当局查封了所有服务器基础设施,包括数据库、源代码和用户数据。联邦调查局和法国执法部门现在已经掌握了之前论坛的全部数字足迹。
让我明确一点:旧论坛的所有内容都已泄露。
这对你意味着什么
如果您要返回,请重新开始。
新的用户名。
新的 OPSEC。
不要重复使用任何以前的用户名、PGP 密钥或标识符。
我们已经看到了人们过于安逸的后果。不要重蹈覆辙。
澄清MyBB传闻
有人猜测此次漏洞使用了所谓的MyBB 0-day漏洞。这种说法是错误的。
只有IntelBroker可以直接访问后台和源代码。“0-day”谣言只是一个烟雾弹,是ShinyHunters转移视线的一种手段,目的可能是争取时间和转移视线。但真相已经浮出水面。
继续前进
我们都吸取了一些惨痛的教训。我们不会忽视它们。
这次重建不仅仅是将碎片重新组合在一起,而是要创造出更强大、更智能、更安全的东西。我将全力以赴,采取一切必要的措施来保护这个社区,确保我们的重建工作不会重蹈覆辙。
这是一个新的篇章——对于那些准备参与其中的人,我欢迎你们。
我们重建。一起重建。
仿冒的BreachForums的访问地址为:
明网:https://breachforums[.]info/
暗网:http://gtihui3n5rijtibu4knip53wopp2teaxa2zphr66bi2yivb5fiekb6id[.]onion/
如果breached[.]ws是正宗血统BreachForums的传承,那这将会是第四版BreachForums,第四版BreachForums的命运将如何,会不会像Hasan所言的合法化运行,“暗网下/AWX”将继续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
臭名昭著的暗网论坛BreachForums自今年4月起再次在明网与暗网同时消失,紧接着谣言与诈骗四起。昨日,事情逐渐明朗,法国媒体《巴黎人报》率先援引警方消息报道,法国警方逮捕了臭名昭著的BreachForums黑客论坛的五名成员,其中包括与发布大公司被盗数据有关的知名成员。
该网站是全球最活跃的地下数字交易市场之一,用于买卖被盗数据。此次执法行动在法国各地同步进行。
此次逮捕行动由巴黎警察总部网络犯罪大队的特种警官执行。该报道还指出,尽管此前BreachForums被推测与俄罗斯有联系,但被捕者均为欧洲人。据称被捕的五名成员中,四人于周一被捕,而该组织的第五名成员,即“IntelBroker”,早在今年二月份就已经被捕。
IntelBroker于今年二月份被捕 美国已经起诉了另一名BreachForums成员IntelBroker,又名Kai West,他于今年2月被法国执法部门逮捕。法国巴黎检察院的一份新闻稿称,“IntelBroker”是英国公民。
IntelBroker是“暗网下/AWX”梳理的暗网论坛BreachForums的第五位管理员。IntelBroker在BreachForums论坛上发布被盗数据的历史可谓丰富多彩,其中包括2023年3月从DC Health Link窃取的国会议员个人身份信息、 2023年11月从通用电气公司窃取的个人信息(包括国防高级研究计划局(DARPA)的文件)、2024年6月从超微半导体公司(AMD)窃取的个人信息以及2024年1月从惠普企业公司窃取的个人信息。
IntelBroker面临多项与非法网络攻击活动相关的指控,造成的损失超过2500万美元。他即将被引渡到美国,可能被判处最高50年监禁。
Sophos Field首席信息安全官Aaron Bugal对这种协调一致的执法行动表示赞赏。“虽然清除这些犯罪网站看起来像是一场永无止境的猫捉老鼠游戏,但网络犯罪分子已经意识到,任何网站或活动都无法逃脱调查,执法部门追捕他们只是时间问题。” Bugal补充道。
本周另外四名BreachForums成员被捕 本周被捕的四名BreachForums成员包括ShinyHunters、Hollow、Noct和Depressed,这四名犯罪嫌疑人年龄在二十多岁左右,本周早些时候被法国网络犯罪大队(BL2C)拘留。
其中,ShinyHunters最为知名,也是“暗网下/AWX”梳理的暗网论坛BreachForums的第三位管理员,曾经号称因为厌倦了运营这个臭名昭著的黑客论坛的压力而选择退休。
法国当局指控黑客“ShinyHunters”、“Hollow”、“Depressed”和“Noct”参与了针对法国多家大型机构计算机系统的攻击,其中包括电子巨头Boulanger、运营商SFR、France Travail和法国足协。ShinyHunters此前曾参与入侵AT&T、必胜客和Ticketmaster等公司。
与 IntelBroker 一样,ShinyHunters 的名字也多次出现在BreachForums上与被盗数据相关的事件中。ShinyHunters发布的数据记录包括:2020年7月来自金融服务供应商Dave Inc. 的750万条记录、 2021年1月来自Pixlr的180万条记录、 2021年1月来自约会网站MeetMindful的记录、2021年4月来自5.33亿Facebook用户的记录,以及2024年6月来自Advance Auto Parts Inc.的3TB数据。
五人可能都面临严重的监禁 目前尚不清楚具体的指控,BreachForums的各位管理员与主要成员究竟是真正的黑客攻击的幕后黑手,还是充当了买卖被盗数据的中间人,又或者两者兼而有之,也一直是个谜。就ShinyHunters的案例而言,两者兼而有之的可能性很大,因为去年7月的一份报告显示,AT&T公司曾向ShinyHunters支付了37万美元的比特币,以阻止被盗信息的泄露。
无论他们被指控什么犯罪,考虑到BreachForums的运营范围以及被窃取、出售或发布的数据量,这五人都可能面临严重的监禁。
BreachForums是一个臭名昭著的交易黑客数据和网络犯罪工具的中心,该暗网论坛已成为全球被盗数据交易的中心枢纽,为数百万敏感信息和个人凭证的出售提供了便利。此次对网络犯罪基础设施的打击凸显了国际合作在打击跨国数字威胁方面日益重要。
BreachForums的创始人,第一位管理员来自美国的康纳·布莱恩·菲茨帕特里克(Conor Brian Fitzpatrick)已经于2023年3月被美国联邦调查局逮捕,该暗网网站第一版于2024年5月被FBI查封并下线。同月晚些时候,该网站在第二位管理员Baphomet与ShinyHunters的合作控制下重新上线。
BreachForums被捕的各位管理员与主要成员的后续判决,“暗网下/AWX”将继续关注。
在BreachForums论坛毫无征兆的突然销声匿迹后,自称为BreachForums管理员Anastasia创建了模仿BreachForums的论坛Breached[.]fi,并称该网站与已关闭的breachforums[.]st有关,但“暗网下/AWX”已经鉴定这是一个仿冒的虚假网站。这几日,有关Breached[.]fi的戏剧性故事很多。
一、Breached[.]fi似乎被黑 一个名为“krekti”的威胁行为者在一个暗网论坛上发布了一篇帖子,声称https://Breached.fi的数据泄露,泄露的数据库语句包含属于Anastasia的重要账户信息,其中包括:
电子邮件 密码哈希值和盐 IP、登录信息和用户表其他数据项 从该泄露数据看,“Anastasia”在数据库里的邮箱是”[email protected]“。
二、Breached[.]fi创建者发布的假消息 在Breached[.]fi创建时,“Anastasia”称BreachForums论坛再次被查封, 管理员被捕,导致该论坛关闭。“Anastasia”的最后一条信息称:
IntelBroker和Shiny已被逮捕 预计联邦调查局将很快发表正式声明 Anastasia已“辞职”,并宣布BreachForums论坛“永远关闭” 最后一次数据库备份时间是2025年4月10日 论坛的基础设施(源码数据库)以2000美元的价格出售 才创建几天,假冒论坛的管理员就宣布出售,这骗局显得比较低端。该管理员还表示自己已退出该论坛,并考虑永久关闭BreachForums论坛。
查询Breached[.]fi这个新域名的Whois记录,发现该域名创建于2025年4月17日,注册商为immateriali[.]sm。本站(anwangxia.com)发现,假冒网站Breached[.]fi同步也在Tor网络创建了一个暗网网站:http://72qsaxh7zurdhttakrjp6trnhgwozb6oszk7rzyfl6twrfzjxzazdzqd.onion,经测试目前Breached[.]fi的明网与暗网网站都无法打开。
有人说,在经历了多年的销售被盗数据、企业漏洞和高调泄密之后,暗网上的这一著名论坛似乎即将结束。不过”暗网下/AWX“认为,尽管执法部门在打击网络犯罪生态系统方面不断取得进展,但猫鼠游戏远未结束,似乎BreachForums的戏剧将永远流传下去……
在每日的常规访问中,“暗网下/AWX”发现,暗网中最臭名昭著的数据泄漏平台BreachForums已经无法访问。经历了多次被执法机构查封后,目前的BreachForums已经是第三版BreachForums,本站(anwangxia.com)去年曾经详细介绍了三个版本的BreachForums以及它的五位运营管理员。
这次无法访问的原因是什么?“暗网下/AWX”试图在Telegram以及X上的威胁情报专家那里寻找答案,目前获得了两个答案,此外还有一个诈骗消息。
传言一:BreachForums遭受了持续的DDoS攻击 名为“Dark Storm Team”的组织在其Telegram频道以及X上声称对BreachForums论坛(breachforums[.]st)发起了DDoS攻击,并给出了全球无法访问的证明:https://check-host.net/check-report/24feb258kb46
We visited Breach forums platform
❌https://t.co/qC8K6eGU3k 🌟https://t.co/r2O4wD4Ls3
For fun.#DARKSTORM
— Dark Storm Team (@EssamGgggg) April 15, 2025 关于BreachForums论坛遭受DDoS攻击的消息不绝于耳,“暗网下/AWX”认为这种可能性也比较高,因为在明网或基于Tor的暗网网站都没有显示扣押横幅,这不符合FBI的行事风格,如果被查封,一般情况下,执法部门要么将其当作蜜罐来继续运行,要么会修改DNS指向显示扣押横幅的页面。
此外,BreachForums论坛的明网域名(breachforums[.]st)的Name Server目前指向了“ns1.ddos-guard.net”与“ns2.ddos-guard.net”,也似乎证明了其背后的技术团队正在采取措施来抵抗目前正在遭受的DDoS攻击。
传言二:BreachForums再次被查封,IntelBroker已被逮捕 Telegram频道中流传的另一个未经证实的说法称,BreachForums论坛可能已再次被执法部门关闭。其中一个群组中发布的一条消息称,BreachForums论坛中的现任管理员IntelBroker已经被逮捕。同一帖子还称,该论坛将会在一个新的域名下重新启动。
正如前面所说,访问该网站并没有显示FBI经典的“查封”页面,意味着该网站可能只是被下线,而不是被正式查封。
虽然消息来源的可信度仍不确定,但该Telegram频道宣称将很快会分享更多细节,虽然“暗网下/AWX”认为该消息不可靠,但还是让我们拭目以待。
开设第四版BreachForums论坛的谣言是典型的诈骗 另外,广泛流传的图片显示:BreachForums论坛已经被关闭,所有管理员也被逮捕;目前第四版BreachForums论坛已经重新开启,但是关闭了注册,如果需要重新注册,需要支付门罗币(XMR),支付后可以联系开设账号。
这是一个明显的诈骗消息,“暗网下/AWX”提醒广大网友注意甄别。BreachForums论坛未来会怎样,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
Dread是暗网最大的英文论坛,也是暗网最大最活跃的论坛,也是暗网存活时间较长的论坛。2月15日,Dread管理员HugBunter发布带有PGP签名的公告,庆祝Dread论坛的7周岁生日。
“暗网下/AWX”多次介绍,Dread是一个类似Reddit的暗网论坛,主要发布有关暗网市场的新闻和讨论。该暗网论坛由HugBunter于2018年初开发,并于2018年2月15日推出,长期以来,该论坛有2名管理员,分别使用化名Paris和HugBunter。Dread论坛参考Reddit样式进行开发,并在开发时充分考虑了隐私性和可用性。任何用户都可以申请创建自己的子版块,从而成为版主;版主控制允许发布哪些类型的帖子,如果他们认为用户违反了规则,他们可以禁止他们访问自己的版块。
Dread论坛的暗网V3地址是:
http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion
HugBunter发布的公告标题为“Dread生日快乐!整整七年!”,在公告中,该管理员表示,简直不敢相信,7年过去了,Dread仍然坚挺地站在这里。从他开发的一个小项目开始,Dread论坛成为了有史以来最大的暗网论坛,虽然前几年Dread经历了重重困难,但依旧能继续为暗网社区提供重要的服务。
HugBunter在公告中感谢所有Dread的工作人员、子论坛版主和用户,称是大家的支持让Dread论坛在每年面临最困难的问题时仍能保持正常运转。
HugBunter称,这篇公告写得很短,因为他比较忙,本来有很多计划要完成,但被本周的服务器问题和其他事情耽搁了。HugBunter请大家拭目以待,表示接下来会有很多令人兴奋的事情发生,这些事情将极大地改善这个平台,这将是其多年来所做的最大一次更新,将涵盖大家所关心的很多问题,对论坛质量的改善将是巨大的。
HugBunter最后再次感谢所有人的努力,让这个平台有了今天,感谢用户一直以来的支持,并提醒大家“注意安全”!
Dread论坛深受暗网网民欢迎最大的原因是Tor网络的匿名性,许多热门子版块都涉及非法或其他有争议的话题,网络犯罪分子确实会在某些子版块中讨论他们的活动。但Dread论坛其实也有许多无害的子版块,比如关于如何从事金融投资的子版块,还比如关于流行视频游戏的子版块。正如本站(anwangxia.com)总结,Dread暗网论坛是一个基于Tor网络的真正言论自由的平台。
HugBunter在公告中提到的重重困难,大概是指,在2022年到2023年期间,网络黑客利用Tor协议漏洞,针对Dread论坛和其他暗网市场发起了大规模拒绝服务攻击(DDoS),当时“暗网下/AWX”持续进行了跟进,并多次报道了Dread论坛的关站以及升级防护的措施直至成功回归。Dread论坛经过重新开发,变得更加稳定,主界面和UI完全重新设计,提供了更大的灵活性,于是深受暗网用户的欢迎。
在公告的回复中,许多用户都在庆祝Dread的7周岁生日,祝福Dread可以继续服务更多年,同时感谢管理员Paris和HugBunter的努力,希望再接再厉。对于Dread未来的发展,“暗网下/AWX”将继续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
近期,有网友向本站(anwangxia.com)发送一个名为Rootexploit的新暗网论坛,希望予以鉴定。按照惯例,“暗网下/AWX”进行了一次探访,发现Rootexploit是一个正在酝酿中的暗网论坛,虽然在X平台有一些宣传,但是该论坛目前依旧没有人气。
Rootexploit暗网论坛的暗网V3域名以root作为前缀:
https://root67ae74xjxjhrsdde3fcoajocwn6hbk2mrgxmn2uq2pvvfgl7uqid.onion
初步看来,Rootexploit暗网论坛于2025年1月4日左右创建,建站时间比较短,毫无知名度。众所周知,暗网论坛Dread是专门对暗网市场、暗网论坛综合评估的专业论坛。在Dread进行搜索,并未发现Rootexploit网站的子版块或者有关Rootexploit网站的任何讨论。
“暗网下/AWX”尝试访问该暗网域名,发现与大多数暗网论坛类似,该网站亦是使用开源论坛程序XenForo搭建。XenForo是一款用PHP编程语言编写的互联网论坛软件包。该软件由前vBulletin首席开发人员Kier Darby和Mike Sullivan开发。XenForo的第一个公开测试版于2010年10月发布,稳定版于2011年3月8日发布。XenForo程序历史悠久,因此在十多年的历史沉淀后,鲜有漏洞,相对而言比较安全。
该网站需要注册才能进入访问,与大多数暗网网站不同的是,尽管是初建网站,注册功能居然设置了邮箱验证,即新用户需验证邮箱才能进入该论坛。经“暗网下/AWX”测试,发送验证邮件的邮箱地址是[email protected],SMTP服务器IP为209.85.216.44。从这点看,该暗网论坛的管理员的OPSEC能力还需加强,强制验证邮箱,既暴露自身的信息,也容易暴露用户的真实信息。在暗网中发展,此为大忌。
Rootexploit暗网论坛主要分为三个大版块:Rootexploit的回声、黑客与漏洞利用、漏洞和CVE漏洞利用,其中“Rootexploit的回声”又包含Void公告、Void更新、Void更新日志和Rootexploit起源4个子版块,“黑客与漏洞利用”包含黑暗面工具库、逆向工程实验室2个子版块,“漏洞和CVE漏洞利用”包含GitHub漏洞库、CVE数据库、CVE漏洞利用教程3个子版块。
由于论坛新建,从主题帖看,目前该论坛仅有4篇主题帖,其中两篇为管理员发布:“更新日志-1:解决用户注册错误”、“Rootexploit 论坛更新 – 隐形 IRC”,均为论坛功能调整;另两篇为用户searchonion发布的有关木马相关的:“Nexus安卓银行木马僵尸网络”、“Spyroid Rat VIP V2 源代码”;从回复看,仅有7篇回复;从注册用户分析,目前该论坛仅有70名注册用户。
查看管理员发布的公告内容,“更新日志-1:解决用户注册错误”公告解决了用户注册时的验证码bug:
亲爱的 Rootexploit 会员
在论坛上报告错误会让我们很高兴,我们会马上解决这个错误,您现在就可以毫不犹豫地注册账户了。
更新日志: 永久删除注册部分的非人类 Recaptcha。
如果您发现任何错误或问题,请通过此邮件 ( [email protected] ) 向我们报告,谢谢。
“Rootexploit 论坛更新 – 隐形 IRC”公告宣布了新的聊天功能插件:
亲爱的会员
现在您可以在论坛中聊天了,这将使您更容易与人讨论和了解。
特点
与用户全球聊天 创建自己的公共聊天室 创建自己的私人聊天室 与用户进行私人对话 自动删除模式 安全性
不存储任何信息 不存储日志 信息完全加盐加密 采用端到端加密 查看首页的聊天室,内容较少,主要是一些求合作的广告,似乎还有中文!
总体而言,由于Rootexploit暗网论坛是今年新创建的论坛,目前并没有访问价值,更无法判断是否为诈骗网站或者以后会不会退出骗局。至于该暗网论坛能否发展,“暗网下/AWX”将持续关注。
”暗网下/AWX“长期追踪的臭名昭著的BreachForums,是一个拥有蓬勃发展的网络犯罪社区的封闭暗网论坛,访问该暗网网站,可以了解暗网数字黑市上销售的产品和服务。本文仅用于教育目的,不鼓励使用暗网。
什么是暗网 本站首先解释一下暗网和网络犯罪论坛的含义。暗网是互联网的一个隐藏部分,只能通过Tor等专注于用户匿名性的特殊浏览软件访问。
暗网既是合法用途的中心,例如注重隐私的浏览,也是非法活动的中心,包括出售被盗数据、毒品、武器、服务和其他违禁品。
暗网上的网络犯罪论坛是黑客、诈骗者和其他犯罪分子交换信息、工具和服务的社区,通常涉及加密货币以促进匿名交易。
BreachForums是什么网站 BreachForums的前身是葡萄牙黑客Diogo Santos Coelho于2015年创建的RaidForums。RaidForums最初是一个专注于“袭击”网站和在线空间的社区,以恶作剧、挑衅或在线破坏的形式出现。
然而,随着网站上的黑客开始入侵社交媒体平台和网站并窃取数百万用户凭证,他们开始将这些凭证卖给出价最高的人。RaidForums迅速发展成为暗网上最复杂、最成熟的有组织犯罪活动中心之一。
Binance users KYC data seems to be on sale on the dark web now
alleged github hack leak pic.twitter.com/SPjGQPsIlS
— otteroooo (@otteroooo) February 4, 2024 2024年2月币安遭遇黑客攻击后,BreachedForums是第一个出现出售用户KYC详情的地方;同年4月,萨尔瓦多州使用的比特币ATM代码被泄露,该代码也出现在BreachForums上出售。
该网站开始吸引网络犯罪分子购买企业安全漏洞中的敏感信息,甚至是泄露的政府文件,这使其成为国际执法工作的重点。
2022年,欧洲刑警组织和美国情报机构合作查封了该网站,并确定并逮捕了创始人迪奥戈·桑托斯·科埃略(Diogo Santos Coelho),他目前被英国拘留,等待因网络犯罪指控被引渡到美国。
RaidForums很快被一个名叫PomPomPurin的用户重新建立为BreachForums,此人于2023年被FBI逮捕,该网站被另一个名叫Baphomet的用户接管。2024年5月,联邦调查局查封了BreachForums,但此后该网站的克隆版本再次出现。
虽然该暗网论坛仍然活跃,但正如”暗网下/AWX“之前的介绍,许多暗网用户猜测,该暗网网站可能是美国联邦调查局设置的一个“蜜罐”或陷阱,目的是监视网络犯罪分子并揭露他们,以对其进行起诉。
在暗网犯罪中心BreachForums论坛上发现了什么 进入BreachForums论坛后,可以一眼看到大量的非法网络活动。虽然一些网络犯罪论坛采用更隐蔽的方式,例如将自己伪装成IT和网络安全爱好者社区,但BreachForums论坛从未做出任何努力来掩盖自己的真实性质。
例如主页上有用户以10000美元的价格提供MS13或La Mara Salvatruca黑帮的暴力服务,但是像所有涉及暴力的暗网帖子一样,这更可能是骗局,而不是真正的要约,但非法活动并不止这些。该网站的滚动聊天框还显示用户实时讨论论坛市场的销售情况,该市场上有很多卖家提供非法产品,如被盗数据、银行欺诈和信用卡欺诈教程、IP跟踪等等。
当然,也有一个对动漫和漫画欣赏的主题,因为即使是网络犯罪分子也有爱好。
BreachForums论坛的最新帖子都是在最近几小时内发布的,表明该暗网论坛的活动仍然非常活跃,尽管人们推测该社区受到了执法部门的严密监视。如有用户正在出售从Paramount Plus和Netflix等在线视频流媒体平台到被攻破的OnlyFans账户的访问权限。
”泄露数据“子版块中的帖子显示,用户正在出售各种各样泄露的数据,包括各公司高管的电子邮件登录信息,阿联酋、印度、卡塔尔和沙特阿拉伯的身份证件,以及从沙特阿拉伯军方电子邮件中窃取的文件和图像。
根据我们的初步调查,最近这次泄露的军事文件似乎是真实的,但同时也表明它来自2016年,这表明该用户试图将旧的泄露信息冒充为新的信息,这是网络犯罪分子在网上进行诈骗的众多例子之一。
一位用户声称自己独家获得了澳大利亚医疗保险MedBank泄露的信息,而澳大利亚的MedBank确实在2022年被俄罗斯网络犯罪分子入侵,970万澳大利亚人的个人信息被窃取。
与暗网以雇佣杀手而闻名的帖子不同,这些文件和身份信息的泄露是非常可信的,因为BreachForums论坛创建的主要目的确实是出售这种性质的被盗数据,而且多年来生意一直很红火。
然而,随着执法部门的屡次查封和逮捕,其中一些帖子可能也是联邦调查局或其他机构为抓捕犯罪分子而设置的陷阱蜜罐。
在BreachForums论坛上找到的服务 除了窃取数据外,勤奋的网络犯罪分子还在暗网上提供各种出租服务,并且总是以加密货币作为支付方式。
在BreachForums上,可以发现有用户声称提供DDoS服务,即分布式拒绝服务攻击,犯罪分子利用僵尸网络阻塞目标网站的运营,以向受害者勒索钱财、攻击竞争对手或仅仅是为了报复敌人。
一个网络犯罪开发者在线群组发布了一则HNVC或隐藏虚拟网络计算服务的广告,这些服务可用于远程访问受害者的计算机。
有趣的是,该帖子与合法在线服务的广告非常相似,列出了可用的功能和定价选项的详细列表,并提供俄语和英语的客户支持。
其他服务包括接码服务,即提供电话号码的服务,允许犯罪分子接收登录代码以激活在线帐户,而无需表明身份或自己的电话号码。
在BreachForums上,可以发现群发电子邮件发送者用于非法大规模营销产品、网络钓鱼诈骗或其他恶意软件活动,还看到了电子邮件轰炸者的广告,他们用于堵塞目标的电子邮件收件箱,以使电子邮件无法使用或隐藏恶意活动(例如尝试登录的警告)。
其中一名垃圾邮件发送者不辞辛劳地创建了一个看似由人工智能生成的横幅广告和其服务的标志,这里对其名称进行了隐藏,以免宣传其服务。
在BreachForums的某个版块,多数帖子都致力于销售远程在线服务器访问权限、网络开发编程服务甚至图形设计服务,所有这些服务都可以用于创建复杂的骗局,例如欺诈性登陆页面以窃取受害者的用户数据。
当然,虽然其中一些服务可能是合法的,但其中大多数服务可能是假的,而且由于BreachForums网站多次被查封和重新开放,这里的账户都是两年以下的新账户。
网络犯罪论坛通常在托管的基础上运作,或者在信任的基础上运作,即用户有“诚实”销售的记录,而这个重新恢复启用的暗网网站几乎没有采取任何措施来防止诈骗。
在BreachForums论坛里,确实看到一些服务广告称他们接受托管付款,即由经过审查的第三方保管资金,直到双方对付款满意为止,如某个开发商提供预制钓鱼网站和登陆页面,允许托管交易。
愿意接受托管表明该用户确实在出售他们声称要出售的商品,尽管该网站上也可能存在许多涉及托管付款的骗局。
事实上,该网站上有许多完整的诈骗主题,显示了用户报告现场诈骗的日志。
近日,美国当局指控了暗网最大的俄语网络犯罪论坛之一WWH-Club的两名管理员,WWH-Club论坛用于购买被盗银行账号、伪造文件和雇佣黑客。根据刑事指控,俄罗斯人Pavel Kublitskii和哈萨克斯坦人Alexandr Khodyrev担任WWH-Club以及Skynetzone、Opencard和Center-Club的管理员和版主。据称,他们在美国境外从事犯罪活动,但于2022年12月在美国寻求庇护。
尽管他们已经被捕,“暗网下”看到WWH-Club仍然在线运行。此外,WWH-Club及其他管理员似乎正试图与Kublitskii和Khodyrev保持距离,声称他们只是版主,对论坛没有管理权。这与美国官方的刑事指控中公布的细节相矛盾。
“暗网下/AWX”还发现,WWH-Club已删除了Kublitskii和Khodyrev的论坛账户,并为其现有成员提供了更改网名的机会。这可能是为了掩盖任何可能的后续调查而采取的对策。
WWH-Club是什么论坛 WWH-Club论坛出现于2012年,在暗网与明网均可以访问,被认为是最大的俄语信用卡交易论坛之一。该论坛是Exploit.in和XSS.is等更大型、更成熟论坛的入门级论坛。WWH-Club论坛因其作为讨论欺诈战术、技术和程序(TTPs)及服务的市场和论坛的功能而与众不同,同时还为希望学习信用卡盗用和欺诈技能的威胁行为者提供教程和课程。截至2023年3月,WWH-Club论坛已拥有超过353000名注册用户,在短短72小时内活跃用户数量就达到了惊人的112000人。
除了提供被盗信用卡使用教程,该论坛还通过自己的担保服务和出售广告空间获得收入。除此之外,论坛主页还集成了以下服务:
自动论坛担保 担保服务 BTC混币 美国银行/fullz 广告 付费身份升级 论坛费用 “b1ack’s Stash”市场更新和交流主题 此外,还有多个对话专门讨论以下主题:
僵尸网络 漏洞利用 Fullz 网络访问 被盗的登录信息 WWH-Club利润丰厚的“培训”项目 WWH-Club论坛把网络犯罪当作一门生意来做,提供全面的“刷卡”教程,教会员如何使用窃取的信用卡数据。这些课程的学费约为975美元,为期六周,包括家庭作业和考试。
该论坛对商业性帖子收取各种费用,视主题而定,费用从大约130美元到780美元不等。
管理员本身似乎也从论坛中获利颇丰。例如,一个与管理员有关联的比特币集群在九年时间里收到了近4000笔存款,总额约152个比特币(价值约96.1万美元)。
两名管理员如何被美国警方逮捕 试想下,如果您经营着暗网最大的被盗信用卡交易论坛[WWH-Club]——您会不会跑去美国申请庇护?您会不会在美国银行开户,存入5万美元现金?然后再用11万美元购买一辆2023年的科尔维特跑车?
Kublitskii是俄罗斯人,科迪雷夫是哈萨克斯坦人,他们在美国寻求庇护。
抵达美国后,Kublitskii将5万美元现金存入美国银行账户,并开始在佛罗里达州阳光岛海滩租住豪华公寓。此外,据说他还花时间游览佛罗里达州奥兰多的各种旅游景点。尽管他花钱大手大脚,但他没有报告任何形式的收入或工作。
同样居住在佛罗里达州的Khodyrev也没有任何收入或工作。不过,他决定用11万美元现金购买一辆2023年款的科尔维特跑车。
美国国税局看到两名外国人在没有工作的情况下烧掉了数十万美元,于是将其列为工作目标。
更搞笑的是,这两个WWH-Club论坛的管理员居然将他们所有的出售被盗信用卡的职业生涯、所有的论坛担保账户与他们选择的服务提供商Gmail关联在一起([email protected]、[email protected]),于是乎,等于自投罗网。
更多WWH-Club论坛相关的消息 “暗网下/AWX”分析美国当局公布的法庭起诉书,可以得出以下信息:
FBI拥有WWH-Club论坛完全的管理权限,还可以访问数千个电子邮件与密码和完整的帐户活动 2名论坛管理员:Pavel Kublitsky(来自俄罗斯)和Alexander Khodyrev(来自哈萨克斯坦) 两位管理员两年前抵达美国后获得了庇护 目前,两名管理员均因管理暗网论坛的罪名出庭,超过15台设备正在接受检查 FBI对WWH-Club论坛的服务器发出搜查令,该服务器由于某种原因托管在美国IDC公司Digital Ocean 由于站点管理员有权查看所有用户交易,FBI已经获得所有数据 法庭文件包括一名FBI特工如何亲自报名参加一门“如何从信用卡窃取”课程并用比特币支付费用的详细信息,并与其他50名学生一起参加了6个月的培训课程 两位管理员一直都正式失业,没有正式工作,但过着奢侈的生活 “暗网下/AWX”认为,FBI准确获取了WWH-Club论坛从2015年开始的所有数据,他们拥有所有私信、账户数据、所有交易和转账的信息。而且,他们已经知道许多版主和论坛参与者的身份。
打击网络犯罪永无止境 WWH-Club案件让我们难得一见地看到了现代网络犯罪活动的规模和复杂程度。这表明,在执法和网络安全工作中需要继续开展国际合作。随着网络犯罪分子变得更加有组织和以商业为导向,执法当局打击他们的方法也必须随之演变。
网络犯罪是一个永恒的循环,我们已经看到了当局和威胁行为者之间的持续拉锯战。最近发生的事件,如ALPHV和LockBit勒索软件团伙被FBI关闭又重新出现,以及BreachForums前管理员的被捕以及数次关闭重开,都表明了这场持续斗争中的成功与挑战。
WWH-Club论坛管理员的被捕是一次重大胜利,但打击网络犯罪的斗争仍在继续。本站(anwangxia.com)呼吁,每家企业都需要全面、可操作和及时的威胁情报,以保护自己免受非法论坛和市场阴谋的侵害。
本周,第一版BreachForums论坛(BreachForums v1)的数据泄露事件持续发酵,”暗网下/AWX“一直在追踪此事件。从初始仅公开了用户信息数据,到后来整个论坛的完整数据库泄出,这为执法部门及网络安全情报分析人员提供了绝佳情报源。
第一版BreachForums论坛的21万名成员的个人信息以及论坛完整的数据库,是一位名为emo的知名威胁行为者在自己的Telegram频道泄露的,”暗网下“作为该频道的长期关注者,看到emo的许多吐槽,也能理解其为什么会释出该数据库。
emo在7月20日一开始只是发布了用户数据,文件名为”breachtoleak.tsv“,大小为15MB,共有212214行数据,也就意味着超过21万会员,该数据已经治理好,仅有5列,分别为论坛成员的用户ID、登录名、电子邮件地址、注册IP地址以及访问网站时最后使用的IP地址。随后,7月24日,emo进一步发布了第一版BreachForums论坛的完整数据库,这是一个Mysql的备份文件,文件名为”backup__20221129_000001_2kQ3WCQe2odVrejd.sql“,也就是数据库的备份时间为2022年11月29日,包含论坛私信、主题帖、回复、付款日志、论坛用户数据等全部数据表,该sql文件大小为2.05GB,文件的注释显示”– MyBB Database Backup — Generated: 29th November 2022 at 00:00“。
据emo称,这些数据直接来自第一版BreachForums论坛的创始人Conor Fitzpatrick,据称他在2023年6月保释期间试图以4000美元的价格出售这些数据。emo说,这些数据最终被三名威胁行为者购买。
在此之前,2023年7月,名为“breached_db_person”的人曾试图在BreachForums论坛上以100000至150000美元的价格出售BreachForums论坛数据库,但是否成功售出,不得而知。
虽然该论坛前期已经被查封,意味着该数据库已经落入了FBI手中,但除了执法部门,这些数据对于安全研究人员来说,同样可以提供许多帮助:利用泄露的电子邮件地址和IP地址,研究人员和执法人员可以将BreachForums成员与其他网站、他们的地理位置甚至真实姓名联系起来。
第一版BreachForums论坛数据库来自哪里 早在7月19日,在Telegram频道”explain“(ugly inside and out)里,频道管理员emo透露了许多内幕消息。emo称BreachForums是一个令人尴尬的论坛,由一名FBI线人和一名“Blooket”黑客运营了一年,他们还在试图出卖论坛的用户信息。emo表示在原管理员pompompurin在2023年被捕后曾与多人联系过,第二版BreachForums的工作人员得知Baphomet很可能已被FBI识别,但不知道出于什么原因,他们决定忽略所有警告。
emo称自己掏腰包,花了将近0.5个BTC,从BreachForums论坛的版主”Dedale“那里购买了第一版BreachForums论坛的数据,以防止它被出售而导致最终泄露。此外,他还自掏腰包支付了人肉”Dedale“的费用。
据emo称,开发者和版主“Dedale”试图在BreachForums上出售以前的论坛数据库,因此他对“Dedale”进行了人肉搜索,由于“Dedale”的安全防护意识(opsec)极其糟糕,他发现了“Dedale”的许多信息。在成为版主之前,Dedale曾使用别名Gliz,他通过编写糟糕的Python脚本来操纵Blooket游戏大厅(Blooket是一款面向儿童的互动教育类儿童游戏),扮演一名黑客。Gliz非常愚蠢,在github提交中泄露了他的一封私人电子邮箱:[email protected],而该邮箱与其别名”Gliz“、oblox的用户名”xXCOOLKID_MONEYxX“和fortnite的用户名”Trxpzz“都关联上了。emo称Gliz去年年底入侵并联手ShinyHunters从U-Haul勒索了高达7位数的款项!此外,由于Dedale没有安全意识,emo还有两点发现:
在Steam上搜索Dedale的独特用户名,会显示“Wasil”这个名字( https://steamcommunity.com/search/users/#text=itrxpzz0 ) 在BreachForum数据库中,Dedale多次泄露自己的家庭IP地址,该地址位于伊利诺伊州德斯普兰斯。 emo称,如果想知道这个数据库是如何存在的……首先,数据库并没有被“破解”,pompompurin同意在2023年6月以4000美元的价格将数据库卖给他的一个密友,但他的朋友没有足够的钱购买数据库,所以他们找到了版主“Dedale”,后者也没有足够的钱购买数据库,所以Dedale找到了ShinyHunters组织(他联合这个组织一起勒索了U-Haul)。ShinyHunters提供了资金,朋友、Dedale和ShinyHunters三个人都拿到了数据库。Dedale后来试图在论坛上以“breached_db_person”的名义出售数据库,因为只有3个人拥有数据库(不包括pom本人),很明显ShinyHunters知道并愿意Dedale背叛、允许其出卖论坛的用户信息,从而获得5位数的金钱。
多个版本的BreachForums论坛 正如”暗网下/AWX“曾经报道,近年来有多个论坛以数据泄露论坛的名义在运营,致力于建立一个云集黑客、数据收集者和威胁行为者的社区,他们交易、出售和泄露从被入侵公司窃取的数据。
第一个声名鹊起的数据泄露论坛是RaidForums,在2022年被FBI查封之后,一个名为Pompompurin的威胁行为者推出了一个名为BreachForums(又名Breached)的新论坛来填补空白,这就是第一版BreachForums(BreachForums v1)。
BreachForums论坛迅速崛起,威胁行为者自豪地泄露了大量被盗数据,包括来自美国国会医疗保健提供商DC Health Link、RobinHood的数据,以及使用暴露的API爬取的Twitter数据。
然而,在DC Health Link数据泄露后不久,FBI于2023年3月逮捕了第一版BreachForums论坛的创始人Conor Fitzpatrick(论坛昵称为Pompompurin)。
不久之后,第一版BreachForums论坛的一位前管理员(昵称为Baphomet)与臭名昭著的被盗数据卖家ShinyHunters合作,创建了第二版BreachForums论坛(BreachForums v2)。
今年5月,第二版BreachForums论坛突然被FBI查封,据称Baphomet被捕,几天后ShinyHunters抢回域名BreachForums.st并恢复了论坛的访问,因此本站(anwangxia.com)将目前的BreachForums称为第三版BreachForums(BreachForums v3)。
由于存在多个版本的BreachForums论坛,根据emo泄露的文件名称,本次泄露的论坛备份文件时间为2022年11月29日,也就意味着最近泄露的数据来自第一版BreachForums论坛,该网站最初由Pompompurin于2022年创建,后来被FBI查封。
emo坚称BreachForums论坛是FBI的蜜罐 根据”暗网下/AWX“对网络犯罪圈子的长期研究,多数黑客以及威胁行为者均认为BreachForums论坛是FBI的蜜罐,emo同样如此,他也坚称BreachForums论坛是FBI的蜜罐。
emo表示,如果在经历了这一切之后你还继续使用BreachForums论坛,那你就太弱智了。emo称,请远离BreachForums,这是一个真实存在的蜜罐,由三人运营,这三人分别是:
ShinyHunters(阿纳斯塔西娅)——这个团体的核心成员被美国司法部起诉,但却没有被关进监狱???好奇🤔 Armadyl – 一名同性恋吸毒成瘾者,被我曝光了XD WillyWonka – 这黑鬼到底是谁啊😹 很奇怪的是,Baphomet(一名FBI线人)将BreachForums的控制权移交给了ShinyHunters。但不知何故ShinyHunters却没有被关进监狱;更奇怪的是ShinyHunters位于法国,其论坛托管着许多法国数据库。。,但他们并没有入狱,也没有因为运营论坛而遇到任何法律问题!
emo说自从这个狗屁蜜罐论坛开始以来,他和其他人也一直在幕后表达担忧,来提高人们对该论坛可疑程度的认识。这个论坛曾三次向FBI泄露其成员的信息,并由一名FBI线人担任管理员。一个论坛将其自己的数据库转储到网站根目录,从而泄露了自己的数据库……一个论坛的管理员是FBI线人……一个论坛的版主试图出售自己的数据库。这样的论坛还能使用?
”暗网下/AWX“刚刚报道了暗网数据泄露论坛BreachForums的扑朔迷离,是谁在幕后控制不得而知。但当该论坛再次恢复访问后,大多数网友坚持相信该论坛已经被FBI掌控。
在先前的公告里,ShinyHunters称对维护BreachForums的积极性降低了,并表示将把该论坛转交给另一位管理员Hollow。
然而,6月14日,ShinyHunters再次发布了新的告别公告”一个时代的终结“(The end of an era):
Hello breachforums
I know it’s been a confusing week and for that I apologize. However, it’s time for us to part ways. It has been a wild ride but all good things must come to an end. This has been a fun project and we will miss leading the forum but you all deserve better. I’m handing the project off to an OG some of you may remember, @Anastasia.