”暗网下/AWX“长期追踪的臭名昭著的BreachForums,是一个拥有蓬勃发展的网络犯罪社区的封闭暗网论坛,访问该暗网网站,可以了解暗网数字黑市上销售的产品和服务。本文仅用于教育目的,不鼓励使用暗网。
什么是暗网 本站首先解释一下暗网和网络犯罪论坛的含义。暗网是互联网的一个隐藏部分,只能通过Tor等专注于用户匿名性的特殊浏览软件访问。
暗网既是合法用途的中心,例如注重隐私的浏览,也是非法活动的中心,包括出售被盗数据、毒品、武器、服务和其他违禁品。
暗网上的网络犯罪论坛是黑客、诈骗者和其他犯罪分子交换信息、工具和服务的社区,通常涉及加密货币以促进匿名交易。
BreachForums是什么网站 BreachForums的前身是葡萄牙黑客Diogo Santos Coelho于2015年创建的RaidForums。RaidForums最初是一个专注于“袭击”网站和在线空间的社区,以恶作剧、挑衅或在线破坏的形式出现。
然而,随着网站上的黑客开始入侵社交媒体平台和网站并窃取数百万用户凭证,他们开始将这些凭证卖给出价最高的人。RaidForums迅速发展成为暗网上最复杂、最成熟的有组织犯罪活动中心之一。
Binance users KYC data seems to be on sale on the dark web now
alleged github hack leak pic.twitter.com/SPjGQPsIlS
— otteroooo (@otteroooo) February 4, 2024 2024年2月币安遭遇黑客攻击后,BreachedForums是第一个出现出售用户KYC详情的地方;同年4月,萨尔瓦多州使用的比特币ATM代码被泄露,该代码也出现在BreachForums上出售。
该网站开始吸引网络犯罪分子购买企业安全漏洞中的敏感信息,甚至是泄露的政府文件,这使其成为国际执法工作的重点。
2022年,欧洲刑警组织和美国情报机构合作查封了该网站,并确定并逮捕了创始人迪奥戈·桑托斯·科埃略(Diogo Santos Coelho),他目前被英国拘留,等待因网络犯罪指控被引渡到美国。
RaidForums很快被一个名叫PomPomPurin的用户重新建立为BreachForums,此人于2023年被FBI逮捕,该网站被另一个名叫Baphomet的用户接管。2024年5月,联邦调查局查封了BreachForums,但此后该网站的克隆版本再次出现。
虽然该暗网论坛仍然活跃,但正如”暗网下/AWX“之前的介绍,许多暗网用户猜测,该暗网网站可能是美国联邦调查局设置的一个“蜜罐”或陷阱,目的是监视网络犯罪分子并揭露他们,以对其进行起诉。
在暗网犯罪中心BreachForums论坛上发现了什么 进入BreachForums论坛后,可以一眼看到大量的非法网络活动。虽然一些网络犯罪论坛采用更隐蔽的方式,例如将自己伪装成IT和网络安全爱好者社区,但BreachForums论坛从未做出任何努力来掩盖自己的真实性质。
例如主页上有用户以10000美元的价格提供MS13或La Mara Salvatruca黑帮的暴力服务,但是像所有涉及暴力的暗网帖子一样,这更可能是骗局,而不是真正的要约,但非法活动并不止这些。该网站的滚动聊天框还显示用户实时讨论论坛市场的销售情况,该市场上有很多卖家提供非法产品,如被盗数据、银行欺诈和信用卡欺诈教程、IP跟踪等等。
当然,也有一个对动漫和漫画欣赏的主题,因为即使是网络犯罪分子也有爱好。
BreachForums论坛的最新帖子都是在最近几小时内发布的,表明该暗网论坛的活动仍然非常活跃,尽管人们推测该社区受到了执法部门的严密监视。如有用户正在出售从Paramount Plus和Netflix等在线视频流媒体平台到被攻破的OnlyFans账户的访问权限。
”泄露数据“子版块中的帖子显示,用户正在出售各种各样泄露的数据,包括各公司高管的电子邮件登录信息,阿联酋、印度、卡塔尔和沙特阿拉伯的身份证件,以及从沙特阿拉伯军方电子邮件中窃取的文件和图像。
根据我们的初步调查,最近这次泄露的军事文件似乎是真实的,但同时也表明它来自2016年,这表明该用户试图将旧的泄露信息冒充为新的信息,这是网络犯罪分子在网上进行诈骗的众多例子之一。
一位用户声称自己独家获得了澳大利亚医疗保险MedBank泄露的信息,而澳大利亚的MedBank确实在2022年被俄罗斯网络犯罪分子入侵,970万澳大利亚人的个人信息被窃取。
与暗网以雇佣杀手而闻名的帖子不同,这些文件和身份信息的泄露是非常可信的,因为BreachForums论坛创建的主要目的确实是出售这种性质的被盗数据,而且多年来生意一直很红火。
然而,随着执法部门的屡次查封和逮捕,其中一些帖子可能也是联邦调查局或其他机构为抓捕犯罪分子而设置的陷阱蜜罐。
在BreachForums论坛上找到的服务 除了窃取数据外,勤奋的网络犯罪分子还在暗网上提供各种出租服务,并且总是以加密货币作为支付方式。
在BreachForums上,可以发现有用户声称提供DDoS服务,即分布式拒绝服务攻击,犯罪分子利用僵尸网络阻塞目标网站的运营,以向受害者勒索钱财、攻击竞争对手或仅仅是为了报复敌人。
一个网络犯罪开发者在线群组发布了一则HNVC或隐藏虚拟网络计算服务的广告,这些服务可用于远程访问受害者的计算机。
有趣的是,该帖子与合法在线服务的广告非常相似,列出了可用的功能和定价选项的详细列表,并提供俄语和英语的客户支持。
其他服务包括接码服务,即提供电话号码的服务,允许犯罪分子接收登录代码以激活在线帐户,而无需表明身份或自己的电话号码。
在BreachForums上,可以发现群发电子邮件发送者用于非法大规模营销产品、网络钓鱼诈骗或其他恶意软件活动,还看到了电子邮件轰炸者的广告,他们用于堵塞目标的电子邮件收件箱,以使电子邮件无法使用或隐藏恶意活动(例如尝试登录的警告)。
其中一名垃圾邮件发送者不辞辛劳地创建了一个看似由人工智能生成的横幅广告和其服务的标志,这里对其名称进行了隐藏,以免宣传其服务。
在BreachForums的某个版块,多数帖子都致力于销售远程在线服务器访问权限、网络开发编程服务甚至图形设计服务,所有这些服务都可以用于创建复杂的骗局,例如欺诈性登陆页面以窃取受害者的用户数据。
当然,虽然其中一些服务可能是合法的,但其中大多数服务可能是假的,而且由于BreachForums网站多次被查封和重新开放,这里的账户都是两年以下的新账户。
网络犯罪论坛通常在托管的基础上运作,或者在信任的基础上运作,即用户有“诚实”销售的记录,而这个重新恢复启用的暗网网站几乎没有采取任何措施来防止诈骗。
在BreachForums论坛里,确实看到一些服务广告称他们接受托管付款,即由经过审查的第三方保管资金,直到双方对付款满意为止,如某个开发商提供预制钓鱼网站和登陆页面,允许托管交易。
愿意接受托管表明该用户确实在出售他们声称要出售的商品,尽管该网站上也可能存在许多涉及托管付款的骗局。
事实上,该网站上有许多完整的诈骗主题,显示了用户报告现场诈骗的日志。
近日,美国当局指控了暗网最大的俄语网络犯罪论坛之一WWH-Club的两名管理员,WWH-Club论坛用于购买被盗银行账号、伪造文件和雇佣黑客。根据刑事指控,俄罗斯人Pavel Kublitskii和哈萨克斯坦人Alexandr Khodyrev担任WWH-Club以及Skynetzone、Opencard和Center-Club的管理员和版主。据称,他们在美国境外从事犯罪活动,但于2022年12月在美国寻求庇护。
尽管他们已经被捕,“暗网下”看到WWH-Club仍然在线运行。此外,WWH-Club及其他管理员似乎正试图与Kublitskii和Khodyrev保持距离,声称他们只是版主,对论坛没有管理权。这与美国官方的刑事指控中公布的细节相矛盾。
“暗网下/AWX”还发现,WWH-Club已删除了Kublitskii和Khodyrev的论坛账户,并为其现有成员提供了更改网名的机会。这可能是为了掩盖任何可能的后续调查而采取的对策。
WWH-Club是什么论坛 WWH-Club论坛出现于2012年,在暗网与明网均可以访问,被认为是最大的俄语信用卡交易论坛之一。该论坛是Exploit.in和XSS.is等更大型、更成熟论坛的入门级论坛。WWH-Club论坛因其作为讨论欺诈战术、技术和程序(TTPs)及服务的市场和论坛的功能而与众不同,同时还为希望学习信用卡盗用和欺诈技能的威胁行为者提供教程和课程。截至2023年3月,WWH-Club论坛已拥有超过353000名注册用户,在短短72小时内活跃用户数量就达到了惊人的112000人。
除了提供被盗信用卡使用教程,该论坛还通过自己的担保服务和出售广告空间获得收入。除此之外,论坛主页还集成了以下服务:
自动论坛担保 担保服务 BTC混币 美国银行/fullz 广告 付费身份升级 论坛费用 “b1ack’s Stash”市场更新和交流主题 此外,还有多个对话专门讨论以下主题:
僵尸网络 漏洞利用 Fullz 网络访问 被盗的登录信息 WWH-Club利润丰厚的“培训”项目 WWH-Club论坛把网络犯罪当作一门生意来做,提供全面的“刷卡”教程,教会员如何使用窃取的信用卡数据。这些课程的学费约为975美元,为期六周,包括家庭作业和考试。
该论坛对商业性帖子收取各种费用,视主题而定,费用从大约130美元到780美元不等。
管理员本身似乎也从论坛中获利颇丰。例如,一个与管理员有关联的比特币集群在九年时间里收到了近4000笔存款,总额约152个比特币(价值约96.1万美元)。
两名管理员如何被美国警方逮捕 试想下,如果您经营着暗网最大的被盗信用卡交易论坛[WWH-Club]——您会不会跑去美国申请庇护?您会不会在美国银行开户,存入5万美元现金?然后再用11万美元购买一辆2023年的科尔维特跑车?
Kublitskii是俄罗斯人,科迪雷夫是哈萨克斯坦人,他们在美国寻求庇护。
抵达美国后,Kublitskii将5万美元现金存入美国银行账户,并开始在佛罗里达州阳光岛海滩租住豪华公寓。此外,据说他还花时间游览佛罗里达州奥兰多的各种旅游景点。尽管他花钱大手大脚,但他没有报告任何形式的收入或工作。
同样居住在佛罗里达州的Khodyrev也没有任何收入或工作。不过,他决定用11万美元现金购买一辆2023年款的科尔维特跑车。
美国国税局看到两名外国人在没有工作的情况下烧掉了数十万美元,于是将其列为工作目标。
更搞笑的是,这两个WWH-Club论坛的管理员居然将他们所有的出售被盗信用卡的职业生涯、所有的论坛担保账户与他们选择的服务提供商Gmail关联在一起([email protected]、[email protected]),于是乎,等于自投罗网。
更多WWH-Club论坛相关的消息 “暗网下/AWX”分析美国当局公布的法庭起诉书,可以得出以下信息:
FBI拥有WWH-Club论坛完全的管理权限,还可以访问数千个电子邮件与密码和完整的帐户活动 2名论坛管理员:Pavel Kublitsky(来自俄罗斯)和Alexander Khodyrev(来自哈萨克斯坦) 两位管理员两年前抵达美国后获得了庇护 目前,两名管理员均因管理暗网论坛的罪名出庭,超过15台设备正在接受检查 FBI对WWH-Club论坛的服务器发出搜查令,该服务器由于某种原因托管在美国IDC公司Digital Ocean 由于站点管理员有权查看所有用户交易,FBI已经获得所有数据 法庭文件包括一名FBI特工如何亲自报名参加一门“如何从信用卡窃取”课程并用比特币支付费用的详细信息,并与其他50名学生一起参加了6个月的培训课程 两位管理员一直都正式失业,没有正式工作,但过着奢侈的生活 “暗网下/AWX”认为,FBI准确获取了WWH-Club论坛从2015年开始的所有数据,他们拥有所有私信、账户数据、所有交易和转账的信息。而且,他们已经知道许多版主和论坛参与者的身份。
打击网络犯罪永无止境 WWH-Club案件让我们难得一见地看到了现代网络犯罪活动的规模和复杂程度。这表明,在执法和网络安全工作中需要继续开展国际合作。随着网络犯罪分子变得更加有组织和以商业为导向,执法当局打击他们的方法也必须随之演变。
网络犯罪是一个永恒的循环,我们已经看到了当局和威胁行为者之间的持续拉锯战。最近发生的事件,如ALPHV和LockBit勒索软件团伙被FBI关闭又重新出现,以及BreachForums前管理员的被捕以及数次关闭重开,都表明了这场持续斗争中的成功与挑战。
WWH-Club论坛管理员的被捕是一次重大胜利,但打击网络犯罪的斗争仍在继续。本站(anwangxia.com)呼吁,每家企业都需要全面、可操作和及时的威胁情报,以保护自己免受非法论坛和市场阴谋的侵害。
本周,第一版BreachForums论坛(BreachForums v1)的数据泄露事件持续发酵,”暗网下/AWX“一直在追踪此事件。从初始仅公开了用户信息数据,到后来整个论坛的完整数据库泄出,这为执法部门及网络安全情报分析人员提供了绝佳情报源。
第一版BreachForums论坛的21万名成员的个人信息以及论坛完整的数据库,是一位名为emo的知名威胁行为者在自己的Telegram频道泄露的,”暗网下“作为该频道的长期关注者,看到emo的许多吐槽,也能理解其为什么会释出该数据库。
emo在7月20日一开始只是发布了用户数据,文件名为”breachtoleak.tsv“,大小为15MB,共有212214行数据,也就意味着超过21万会员,该数据已经治理好,仅有5列,分别为论坛成员的用户ID、登录名、电子邮件地址、注册IP地址以及访问网站时最后使用的IP地址。随后,7月24日,emo进一步发布了第一版BreachForums论坛的完整数据库,这是一个Mysql的备份文件,文件名为”backup__20221129_000001_2kQ3WCQe2odVrejd.sql“,也就是数据库的备份时间为2022年11月29日,包含论坛私信、主题帖、回复、付款日志、论坛用户数据等全部数据表,该sql文件大小为2.05GB,文件的注释显示”– MyBB Database Backup — Generated: 29th November 2022 at 00:00“。
据emo称,这些数据直接来自第一版BreachForums论坛的创始人Conor Fitzpatrick,据称他在2023年6月保释期间试图以4000美元的价格出售这些数据。emo说,这些数据最终被三名威胁行为者购买。
在此之前,2023年7月,名为“breached_db_person”的人曾试图在BreachForums论坛上以100000至150000美元的价格出售BreachForums论坛数据库,但是否成功售出,不得而知。
虽然该论坛前期已经被查封,意味着该数据库已经落入了FBI手中,但除了执法部门,这些数据对于安全研究人员来说,同样可以提供许多帮助:利用泄露的电子邮件地址和IP地址,研究人员和执法人员可以将BreachForums成员与其他网站、他们的地理位置甚至真实姓名联系起来。
第一版BreachForums论坛数据库来自哪里 早在7月19日,在Telegram频道”explain“(ugly inside and out)里,频道管理员emo透露了许多内幕消息。emo称BreachForums是一个令人尴尬的论坛,由一名FBI线人和一名“Blooket”黑客运营了一年,他们还在试图出卖论坛的用户信息。emo表示在原管理员pompompurin在2023年被捕后曾与多人联系过,第二版BreachForums的工作人员得知Baphomet很可能已被FBI识别,但不知道出于什么原因,他们决定忽略所有警告。
emo称自己掏腰包,花了将近0.5个BTC,从BreachForums论坛的版主”Dedale“那里购买了第一版BreachForums论坛的数据,以防止它被出售而导致最终泄露。此外,他还自掏腰包支付了人肉”Dedale“的费用。
据emo称,开发者和版主“Dedale”试图在BreachForums上出售以前的论坛数据库,因此他对“Dedale”进行了人肉搜索,由于“Dedale”的安全防护意识(opsec)极其糟糕,他发现了“Dedale”的许多信息。在成为版主之前,Dedale曾使用别名Gliz,他通过编写糟糕的Python脚本来操纵Blooket游戏大厅(Blooket是一款面向儿童的互动教育类儿童游戏),扮演一名黑客。Gliz非常愚蠢,在github提交中泄露了他的一封私人电子邮箱:[email protected],而该邮箱与其别名”Gliz“、oblox的用户名”xXCOOLKID_MONEYxX“和fortnite的用户名”Trxpzz“都关联上了。emo称Gliz去年年底入侵并联手ShinyHunters从U-Haul勒索了高达7位数的款项!此外,由于Dedale没有安全意识,emo还有两点发现:
在Steam上搜索Dedale的独特用户名,会显示“Wasil”这个名字( https://steamcommunity.com/search/users/#text=itrxpzz0 ) 在BreachForum数据库中,Dedale多次泄露自己的家庭IP地址,该地址位于伊利诺伊州德斯普兰斯。 emo称,如果想知道这个数据库是如何存在的……首先,数据库并没有被“破解”,pompompurin同意在2023年6月以4000美元的价格将数据库卖给他的一个密友,但他的朋友没有足够的钱购买数据库,所以他们找到了版主“Dedale”,后者也没有足够的钱购买数据库,所以Dedale找到了ShinyHunters组织(他联合这个组织一起勒索了U-Haul)。ShinyHunters提供了资金,朋友、Dedale和ShinyHunters三个人都拿到了数据库。Dedale后来试图在论坛上以“breached_db_person”的名义出售数据库,因为只有3个人拥有数据库(不包括pom本人),很明显ShinyHunters知道并愿意Dedale背叛、允许其出卖论坛的用户信息,从而获得5位数的金钱。
多个版本的BreachForums论坛 正如”暗网下/AWX“曾经报道,近年来有多个论坛以数据泄露论坛的名义在运营,致力于建立一个云集黑客、数据收集者和威胁行为者的社区,他们交易、出售和泄露从被入侵公司窃取的数据。
第一个声名鹊起的数据泄露论坛是RaidForums,在2022年被FBI查封之后,一个名为Pompompurin的威胁行为者推出了一个名为BreachForums(又名Breached)的新论坛来填补空白,这就是第一版BreachForums(BreachForums v1)。
BreachForums论坛迅速崛起,威胁行为者自豪地泄露了大量被盗数据,包括来自美国国会医疗保健提供商DC Health Link、RobinHood的数据,以及使用暴露的API爬取的Twitter数据。
然而,在DC Health Link数据泄露后不久,FBI于2023年3月逮捕了第一版BreachForums论坛的创始人Conor Fitzpatrick(论坛昵称为Pompompurin)。
不久之后,第一版BreachForums论坛的一位前管理员(昵称为Baphomet)与臭名昭著的被盗数据卖家ShinyHunters合作,创建了第二版BreachForums论坛(BreachForums v2)。
今年5月,第二版BreachForums论坛突然被FBI查封,据称Baphomet被捕,几天后ShinyHunters抢回域名BreachForums.st并恢复了论坛的访问,因此本站(anwangxia.com)将目前的BreachForums称为第三版BreachForums(BreachForums v3)。
由于存在多个版本的BreachForums论坛,根据emo泄露的文件名称,本次泄露的论坛备份文件时间为2022年11月29日,也就意味着最近泄露的数据来自第一版BreachForums论坛,该网站最初由Pompompurin于2022年创建,后来被FBI查封。
emo坚称BreachForums论坛是FBI的蜜罐 根据”暗网下/AWX“对网络犯罪圈子的长期研究,多数黑客以及威胁行为者均认为BreachForums论坛是FBI的蜜罐,emo同样如此,他也坚称BreachForums论坛是FBI的蜜罐。
emo表示,如果在经历了这一切之后你还继续使用BreachForums论坛,那你就太弱智了。emo称,请远离BreachForums,这是一个真实存在的蜜罐,由三人运营,这三人分别是:
ShinyHunters(阿纳斯塔西娅)——这个团体的核心成员被美国司法部起诉,但却没有被关进监狱???好奇🤔 Armadyl – 一名同性恋吸毒成瘾者,被我曝光了XD WillyWonka – 这黑鬼到底是谁啊😹 很奇怪的是,Baphomet(一名FBI线人)将BreachForums的控制权移交给了ShinyHunters。但不知何故ShinyHunters却没有被关进监狱;更奇怪的是ShinyHunters位于法国,其论坛托管着许多法国数据库。。,但他们并没有入狱,也没有因为运营论坛而遇到任何法律问题!
emo说自从这个狗屁蜜罐论坛开始以来,他和其他人也一直在幕后表达担忧,来提高人们对该论坛可疑程度的认识。这个论坛曾三次向FBI泄露其成员的信息,并由一名FBI线人担任管理员。一个论坛将其自己的数据库转储到网站根目录,从而泄露了自己的数据库……一个论坛的管理员是FBI线人……一个论坛的版主试图出售自己的数据库。这样的论坛还能使用?
”暗网下/AWX“刚刚报道了暗网数据泄露论坛BreachForums的扑朔迷离,是谁在幕后控制不得而知。但当该论坛再次恢复访问后,大多数网友坚持相信该论坛已经被FBI掌控。
在先前的公告里,ShinyHunters称对维护BreachForums的积极性降低了,并表示将把该论坛转交给另一位管理员Hollow。
然而,6月14日,ShinyHunters再次发布了新的告别公告”一个时代的终结“(The end of an era):
Hello breachforums
I know it’s been a confusing week and for that I apologize. However, it’s time for us to part ways. It has been a wild ride but all good things must come to an end. This has been a fun project and we will miss leading the forum but you all deserve better. I’m handing the project off to an OG some of you may remember, @Anastasia.
自从5月中旬暗网数据泄露论坛BreachForums被FBI扣押之后,发生了太多故事,“暗网下/AWX”也在持续跟进,5月24日,第三版BreachForums就在管理员ShinyHunters的带领下强势回归。
然而,6月10日起,该论坛再次无法访问,且管理员Telegram以及BreachForums的Telegram频道、群组均被删除,经历了两天的猜疑后,6月12日,BreachForums又再次在暗网与明网恢复访问,没人知道发生了什么。
再次恢复访问后,管理员ShinyHunters在论坛发布了发布了有关近期问题的公告:
Hello BreachForums users!
Some wild stuff has gone down recently. First off, Spamhaus has blacklisted our SMTP host. Then, we ran into more issues with our NGINX config. To top it off, our Telegram account (@shinycorp) and the “Jacuzzi 2.0” group got banned and blacklisted. Because of all this, we’re stepping away from using any Telegram account for ShinyHunters, and honestly, it’s kind of sapped our motivation to keep the forum going, though we’ll keep it alive.
“暗网下/AWX”快讯,就在今天凌晨,美国联邦调查局(FBI)查封了臭名昭著的暗网数据泄露论坛BreachForums,该黑客论坛长期以来一直向其他网络犯罪分子泄露和出售被盗企业数据。
本站前期报道,就在出事前几天,BreachForums论坛上还发布了出售被窃取的4900万戴尔客户数据以及GPS跟踪解决方案提供商Frotcom的内部敏感数据的广告帖子。
昨天晚上,经本站(anwangxia.com)测试,BreachForums可以正常访问,今早“暗网下”再次访问BreachForums,已经提示被FBI等国际执法机构查封的扣押信息。
根据该网站现在显示的扣押消息,联邦调查局已控制该网站和后端数据,并正在审查(review)其后端数据,同时,访问BreachForums的暗网域名,显示同样的扣押信息,这表明执法部门已经完全控制了该网站的服务器和域名。
扣押信息中写道:“在国际合作伙伴的协助下,联邦调查局和司法部已关闭该网站。”
扣押横幅的图片上继续写道:“我们正在审查该网站的后端数据。如果您有关于BreachForums上的网络犯罪活动的信息,请与我们联系。”
扣押信息还显示了该网站管理员Baphomet和ShinyHunters的两张论坛个人头像图片,头像上面覆盖着监狱栏杆。“暗网下/AWX”认为,这可能表明这两位管理员大概率已经被执法部门抓获。
如果执法部门如他们所说的那样获得了黑客论坛的后台数据,那么他们就会拥有电子邮件地址、IP地址和论坛私信,这些信息可能会暴露论坛成员的真实身份,并被用于执法调查。
FBI还查封了该网站的Telegram频道和Baphomet拥有的其他频道和群组,执法部门在Telegram群组与频道中发送消息称群组与频道均已在他们的控制之下。
并且,执法部门在查封的Telegram频道上发布的一些公告消息直接来自Baphomet个人的Telegram帐户,这更加证明了Baphomet已经被捕,他的电脑及手机等设备现已掌握在执法部门手中。
This Telegram chat is under the control of the FBI. The BreachForums website has been taken down by the FBI and DOJ with assistance from international partners. We are reviewing the site’s backend data. If you have information to report about cyber criminal activity on BreachForums, please contact us: t.me/fbi_breachforums [email protected]
HydraForums鄙视BreachForums,称自己能确保用户的安全 “暗网下/AWX”一直在关注另一个数据泄露论坛HydraForums。
HydraForums将自己形容为“Hydra Market”,但不是被德国警方跟FBI查封的那个俄罗斯暗网市场,而是一个泄露与交易被盗数据的论坛,一直视BreachForums为竞争对手,但HydraForums始终名不见经传。
遇到BreachForums被查封的好消息,HydraForums说怀疑这个弱智论坛成员的智商,他们要么是孩子,要么都是弱智。
HydraForums发布致BreachedForums会员的通知称,FBI目前正在检查您的IP地址信息、密码、电子邮件地址、Telegram地址。在他们的“Hydra Market”,则会始终确保用户的安全,并将继续这样做!
从去年下半年到今年上半年,著名的暗网论坛Dread持续遭受了DDoS攻击,并长期进行代码的升级,无法正常访问,直到7月份才恢复正常,可以使用备用onion域名进行访问。近期,“暗网下/AWX”发现,Dread论坛又多次无法访问,据称再次一直持续遭受DDoS攻击,但是Dread论坛管理员表示,得益于Tor网络新的PoW防御机制,该论坛又能保持在线了,但是需要用户将Tor浏览器升级至最新版本。
11月中下旬,Dread论坛一直在跟进Bohemia市场疑似“退出骗局”的事件,尽管其看似是暗网上最“道德”的场所,也招惹了许多仇恨,多年以来一直在遭受DDoS攻击,并在近期攻击加剧,从而导致了包括备用链接在内的两个洋葱链接均无法正常访问。
明网中的Reddit论坛也有许多网友在咨询Dread论坛是否下线了,有网友甚至表示已经3个月没有成功访问进入Dread论坛了。
11月23日,Dread论坛管理员hugbunt3r在Reddit发布带有PGP签名的主题公告:“DoS Attack – We are online, upgrade your Tor Browser!”。公告写道,Dread遇到了另一次 DoS 攻击尝试,该攻击在过去几个小时内使当前镜像域名处于脱机状态;他们已启用 PoW(工作量证明)防御,并且已重新上线;如果用户想访问该平台,必须安装或升级最新版本的 Tor 浏览器,新版本支持 PoW 防御功能;如果正在使用
Tails 操作系统并且有一段时间没有升级,需要将 Tails 升级到最新版本才能接收 Tor 浏览器升级;Dread论坛的主要洋葱链接将保持关闭状态,因为其目前无法以完整的 PoW 防御启动它。
—–BEGIN PGP SIGNED MESSAGE—– Hash: SHA512 We’ve been experiencing another DoS attack attempt which has held the current mirror offline for the last few hours. We have enabled PoW (Proof-of-work) defenses and we are back online. PoW access requires you to have one of the recent Tor Browser releases if you want to access the platform.
“暗网下/AWX”近日获悉,知名俄罗斯暗网论坛XSS.IS的管理员(admin)发布公告,称将组织[ // XSSware] ——一个项目/软件竞赛,奖金总计2万美元。
根据该公告,此次XSS论坛举办的虽然也是传统意义上的竞赛,但这一次并不是像往常一样的文章竞赛,而是一个项目/软件竞赛。历史上,XSS论坛曾经举办过7次文章竞赛,奖金从1000美元到40000美元不等。
公告显示,本次竞赛接受的方向非常广泛,包括:网络漏洞、对无线网络的攻击、软件漏洞/利用、恶意软件及相关软件、破解/逆向、硬件黑客、密码学、聊天软件和社交网络、匿名与安全、垃圾邮件/流量、网络钓鱼、APT攻击、欺诈、黑帽人工智能、黑帽编程与开发(所有语言)、加密货币/智能合约等等。
XSS论坛的管理员在公告里详细解释了什么是“项目”,他说,在他们的竞赛中,“项目”指的是有可能推出和/或实现的有形的成品。它不仅包括软件,还包括一般项目:一个普通论坛用户可以下载、使用、运行并从中获益、产生兴趣、取得成果或学到知识的东西,或者能为论坛用户带来知识、利益、金钱或经验的东西。
公告表示,任何与XSS论坛主题相关的内容都可以被接受为参赛作品。任何编程语言编写的任何软件:解析器、分析器、检查器、加载器、僵尸网络、加密器、任何恶意软件、网络攻击系统等等。还有专为加密而设计的软件、垃圾邮件发送工具、用于网络钓鱼和进行ART攻击的系统等等可以用于网络攻击的一切。用于交易CC、访问权限、帐户的网站,甚至您自己的FraudGPT或语音欺骗系统!Windows的破解也是比赛的一个项目。没有限制!最重要的是,只要可以运行它,而且它应该是有用的、有指导意义的或只是壮观的!
XSS论坛的管理员说他们也意识到了此次比赛的荒谬性。但是关于“哪个yap更好”和“python 是垃圾”的建设性技术争论没有意义,他们没有编程奥林匹克,没有这样的任务,没有僵化的框架和形式主义。这次竞赛是参与者实现自我、了解其他参与者、分享一些东西的机会。此外,也许,还能赢得一份丰厚的奖品(奖品多达10个)。
公告对已能够接受的项目/软件提出了要求:一是参与者的项目/软件将作为单独主题加入本部分;二是仅限原作者的软件和项目,复制和盗用各种软件(尤其是从github上抄袭)=退出竞赛,此外,也不得发布重写的Hook、Ermac或类似软件,将别人的软件冒充为自己的软件也=退出比赛;三是必须张贴源代码,
必须注明作者(作者名称和论坛“xss.is”),必须有简短的描述、启动示例、环境/运行要求、程序/项目截图;四是仅允许在XSS.is网站上发布,并且要附带2000个字符的文本(扩展版的自述文件),可以写下这是一款什么样的软件,它是在什么基础上编写的,功能示例,用途,生活中的例子。(项目/软件的最大数量不限,但不应是同一类型。不接受有条件的3个相同类型的暴力破解程序。)
选出优胜者的过程与以往比赛完全相似。优胜者评选步骤如下:
步骤1——管理员初步筛选合格项目:管理员进行初步筛选,初步过滤 “信息垃圾”,并禁止那些从github上传内容的可疑人员。 步骤2——管理员收集合格项目:选出的项目/软件将进行投票,只有在比赛开始前注册的参赛者才能参与投票。 步骤3——获胜者将由全论坛投票决定:全员投票,但是对水军(“0/1个帖子的人”)的可疑投票和填充投票将被删除。 步骤4——增加投票比例:管理员和赞助商将像以前的比赛一样,增加投票比例(各占 5%)。 考虑到以往大赛延期的情况,因此立即设定了较长的截止日期。竞赛时间从2023年11月5日开始,到2024年3月5日结束(含)。获胜者的评选从2024年3月6日开始。
公告表示,本次竞赛的奖金以USDT支付。总奖金为20000 USDT(美元),共有10个奖项!获胜者,第一名将获得奖金7000美元,第2名将获得奖金5000美元,第3名将获得奖金3000美元,第4名将获得奖金1000美元,第5名将获得奖金1000美元,第6名将获得奖金800美元,第7名将获得奖金800美元,第8名将获得奖金500美元,第9名将获得奖金500美元,第10名将获得奖金300美元。
公告最后为比赛赞助商Angel Drainer做了广告,广告的主题链接为:http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/83615/
更多暗网新闻动态,请关注“暗网下/AWX”。
“暗网下/AWX”一直使用Dread论坛观察监测全球各大暗网交易市场,近期,发现Dread论坛出现了断断续续无法访问,意识到该论坛又在遭受DDoS攻击。
暗网上最大的英文论坛Dread长期讨论全球暗网交易市场,为人们使用暗网市场提供指引,深受全球暗网网民的喜爱,访问量比较大,人们把该网站当成暗网交易市场投诉的地方。
为此Dread论坛也得罪了许多暗网交易市场幕后的主人,从2022年11月下旬以来,Dread遭受了长期的DDoS攻击,一直处于离线状态。联合管理员HugBunter等多位管理员专门对论坛进行重新开发,并增加了基础设施的防护。直到今年3月份,该论坛才重新开放。
但是好景不长,DDoS攻击的规模越来越大,Dread论坛现有的基础设施又无法承受了,7月底Dread论坛的暗网v3域名再次断断续续无法访问。
有用户girlonket在论坛发布主题询问:”找不到dreadytofat洋葱网站?“,他说他试着从daunt.link上访问Dread,但是显示找不到onion site,在 d/Dread上也没有看到相关信息。
Dread的管理员HugBunter回答称,他们正在遭受持续的DoS攻击,并且攻击加剧,主要链接(dreadytofat)有一段时间不可用。他们一般不会直接在Dread论坛上发布相关信息,但如果用户在此期间仍能访问,那么用户很可能已经有了私人链接(外人不掌握的镜像链接)。
当有用户triplenigger询问Tor网络上的PoW进展如何了,这是用来抵抗DDos的,HugBunter答复说,PoW目前已经被并入了Tor的alpha分支,一旦并入稳定版本,随着所有节点的逐步更新,保护措施将开始在整个网络中生效。但是他们还不知道具体时间,但可能需要几周的时间才能普及。到那时,他们将启动一个额外的具有PoW保护功能的Dread镜像,一旦它运行得足够好,保护功能就会添加到主链接中。
7月27日,HugBunter(hugbunt3r)在Reddit论坛发布带有PGP签名的公告,公告透露,自重新启动以来,Dread一直受到持续不断的攻击,但始终能够保持主洋葱域名足够稳定的在线,尤其是在过去的几周。今天,攻击有所增加,但是由于缺少足够的资源,无法立马恢复主洋葱域名的访问。大家可以通过私人镜像链接访问Dread,它受到了强大的保护,有望暂时保持在线。公告表示,希望如果私人镜像链接受到攻击,攻击者的资源会在主洋葱域名和镜像域名之间分散,以保证两者之间的正常运行时间。
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
Since the relaunch we’ve been under constant, non-stop attack,
but always been able to keep the main onion online consistently
enough, especially the past few weeks. Today the attack increased,
I’ll be able to restore access shortly on the main onion, but as
of right now I simply do not have the resources. For now, please
OnniForums自称是一个专注于安全和匿名的黑客论坛,为所有用户提供黑客教程、数据库泄露、市场等内容。OnniForums论坛因攻击重新启动的BreachForums而出名,向外界展示了其”高超“的黑客技术。“暗网下/AWX”探访了OnniForums的暗网网站,并尝试了注册。
6月份,重新启动的论坛BreachForums据称已被OnniForums上的用户DataBroker黑客攻击,包含约4300个帐户的用户数据库被泄露。这使得OnniForums名声大振,也收拢了一大波用户(网络犯罪分子)。目前,据称该论坛有超过12000多名用户,活跃度比较高。
与RaidForums以及BreachForums等其他暗网黑客论坛一样,OnniForums也是使用MyBB论坛程序搭建的,自然也是基于PHP与Mysql的环境。
进入该网站,注册时,该网站显示了一个规则:
禁止垃圾内容。 禁止色情内容。 禁止弱智。 禁止潜伏者。 并且要求,继续注册程序即表示您同意上述规则以及管理员指定的其他规则。
注册进去后,映入眼帘的也是首页的即使聊天部分(喊话筒),这也与其他论坛几乎一样。
OnniForums论坛分为主页(公告, 休息室, DNM讨论区)、黑客(黑客问题、网站、教程和软件破解)、市场(卖方, 买方)、泄漏(数据库泄漏、账户登录、数据转储和电子书)、开发(恶意软件开发、编程、逆向工程、开发代码)、卡片(信用卡、欺诈、操作安全)、毒品(毒品交流,评论)等七个版块,看起来除了色情、儿童色情以及枪支弹药,常见的犯罪都有。在数据库泄漏的版块里,泄露了大量的数据库,其中也有许多来自中国的数据。
OnniForums管理员为论坛创建了一个新的jabber服务器,号称没有没有日志,没有IP,没有废话,托管在海外!可以通过Tor在这里注册 -> http://city6xw7ualufhzwgnsesde6pbkxfodjz3h5rf52ut4q47qyas67ymid.onion/jabber.html,也通过明网在这里注册 -> https://lake.money/jabber.html,并且提供了他的账户: [email protected]。
OnniForums的管理员也公布了他的canary:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
I am the admin of Onniforums dkota
I am in control of my PGP key
I will update this canary within 14 days.
Today is 2023-07-08
—–BEGIN PGP SIGNATURE—–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