3月底,中文暗网里较大的交易市场“暗网中文论坛”,又名“暗网中文交易市场”(简称“暗中”或者“中暗”),突然无法正常访问,当时业内均认为其卷走用户账号里的加密货币后跑路了。不过没多久,“暗网下/AWX”看到,“暗中”很快又活了过来,并且俨然一片生机勃勃,广告与商品发布也多了起来。“暗中”活过来以后,国外安全公司Group-IB称“暗中”、“长安”等中文暗网交易市场存在许多诈骗行为。
“暗中”再次复活,探访该交易市场的变化 早在去年,本站(anwangxia.com)曾经报道,“暗中”的市场交易货币已经从比特币切换为莱特币,“暗中”网站对使用莱特币(LTC)作为交易货币进行了解释:
网站已经切换为莱特币做交易货币
经过一段时间的试行, 基本确定莱特币网络的稳定运行. 莱特币作为交易货币, 有很多优点.
去中心化
非私人机构运行的区块链网络, 不会有单位或者组织, 能通过莱特币的转款交易确定发送人.
价值公认
莱特币是 2011年 从比特币网络分离出来, 已经稳定运行了13年, 继承了比特币的区块链公共账本去中心化的特性.
区块链安全
莱特币与狗狗币合并挖矿, 攻击者想通过双花交易进行攻击, 需耗费的成本介于莱特币与狗狗币的组合之上, 攻击者得不偿失.
莱特币是 2011年 从比特币网络分离出来, 已经稳定运行了13年, 继承了比特币的区块链公共账本去中心化的特性.
转账速度快
莱特币区块链是针对比特币区块的改进, 两分钟左右一个区块, 基本上10分钟就确定转账完成.
公认的最佳交易货币
全球的加密货币支付类转账中, 莱特币占比18%左右, 在全球最大跨国支付网关 Bitpay 中, 莱特币的使用率更高达40%以上.
隐私保证
莱特币的NWEB功能, 直接切断任何单位组织企图对莱特币地址的区块链查询.
为什么不采用比特币
转账速度太慢, 转账费用高.
隐私交易时, 需要对比特币进行混币, 采取几十次的交叉混合, 过程中发生的转账时间太长, 产生的费用甚至超过了该地址上比特币价值的本身.
表面上混币机构收取了大量手续费, 实际上混币的操作不仅不赚钱, 甚至赔掉了本金.
隐私保护程度不高
无法对区块链数据进行隐藏, 尤其是在比特币网络拥堵的最近几年, 无法进行足够的混币交叉.
结果导致用户的比特币, 一旦进入交易所就被监控. [现在所有的交易所数据都在司法机关的监控下], 给网站和用户带来大量的损失.
为什么不采用 USDT?
私人发行货币, 无安全保障.
USDT 由泰达公司发行, 非去中心化, 泰达公司可以以任何理由冻结(票据作废, 抵押物不退还就是没收), 近两年全球被泰达公司以涉黑为由没收的USDT价值10亿以上.
iProov是一家基于科学的生物特征身份验证解决方案提供商,iProov的威胁情报研究人员发现了一个大规模的暗网行动,该行动专门用于绕过“了解你的客户”(KYC)验证检查。该暗网行动涉及系统地收集真实的身份证件和相应的面部图像。该行动背后的暗网犯罪团伙似乎一直在窃取面部身份证件图像以及与之相关的真实身份证件。
暗网人脸识别行动的威胁 iProov生物识别威胁情报部门的研究人员发现了暗网上正在实施的看似简单但同时又十分复杂的身份保护绕过操作。iProov分析师将这一重大行动描述为“通过系统收集真实身份证件和图像来破坏身份验证系统”,并表示这表明身份欺诈的性质正在不断演变。
正如iProov在2024年第四季度威胁情报更新报告中详细指出的那样,此次行动背后的未具名犯罪暗网威胁组织已经积累了“大量身份证件和相应的面部图像”,报告称,这些图像“专门为破坏‘了解您的客户‘(kyc)验证流程而设计”。此类系统在防止针对银行和其他金融机构的身份欺诈方面发挥着关键作用。
然而,在这个特殊案例中,最有趣的是,这似乎并不是从已发布的被盗数据库中抓取被泄露的生物特征数据的问题,而是看起来像是通过向用户付费来获取身份。
该案例具体有以下特征:
暗网身份欺诈行动:iProov发现了一个复杂的暗网网络,该网络收集真实身份证件和面部图像以绕过KYC验证。 自愿身份泄露:拉丁美洲和东欧等地区的个人愿意出售其个人和生物特征数据以获取短期经济利益。 不断发展的欺诈技术:攻击者使用从基本的静态图像到高级工具(如深度伪造软件和自定义AI模型)等方法来绕过活体检查。 全球生物特征数据风险:备受瞩目的泄密事件(例如ZKTeco和ChiceDNA)揭示了生物特征访问系统和面部识别技术中的漏洞。 需要多层防御:专家建议采用先进的实时验证、质询-响应机制和持续监控来应对这些复杂的威胁。 KYC攻击流程——暗网面部识别资源如何最大化威胁 iProov报告警告称,这一面部ID储存库的发现凸显了“验证系统面临的多层挑战”,并提供了攻击过程的细分,以说明企业不仅需要能够检测虚假文件,还需要能够检测欺诈性金融应用程序中使用的100%真实凭证。攻击过程细分如下,并详细说明了新发现的面部ID和文件资源是如何参与其中的:
文档验证 标准文件验证流程能够检测出更改和伪造的身份证件,但是,使用暗网组织提供的真实、100%合法的文件使得这种传统的验证方法变得不可靠。
面部匹配 面部匹配算法可以将提交的照片与相关身份证件进行准确比对。但是,当合法的面部图像与合法且对应的身份证件配对时,基本的验证系统可能会出现问题。
活体检测 虽然身份验证攻击涉及不同程度的复杂程度,而且由于活体检测等技术,基本攻击总是更容易被发现,但企业需要了解所有攻击类型,以便最好地防御所有攻击。基本方法包括打印照片和篡改身份证件,中级攻击可能使用实时人脸交换和深度伪造与真实文件相结合,高级攻击可以使用3D建模和实时动画来尝试响应活体检测检查。
暗网黑客付费获取面部图像和辅助身份证明文件——用户愿意参与 iProov首席科学官安德鲁·纽厄尔(Andrew Newell)表示:“这一发现尤其令人担忧,不仅仅是因为操作的复杂性,还因为个人为了短期经济利益而心甘情愿地泄露自己的身份。”他说得并没有错,因为这不仅仅是出售身份数据的问题,而且还冒着自身安全的风险。“他们为犯罪分子提供了完整、真实的身份信息包,可用于复杂的冒充欺诈。”纽厄尔警告说,“这个过程更加危险的是,我们在这里谈论的是身份匹配对的完美风暴:真实的文件和真实的匹配生物特征数据,这使得它们极难通过传统的验证方法检测到。”
“暗网下/AWX”对iProov的报告进行了分析,iProov发现的暗网行动主要发生在拉丁美洲和东欧地区,对依赖生物特征验证的组织提出了重大挑战。真实的凭证与匹配的面部图像相结合,可以轻松绕过传统的文件验证和基本的面部匹配系统。
此外,这些攻击的复杂程度还在不断提高。虽然基本攻击使用简单的方法,如打印照片或静态图像,但中层攻击者使用更先进的技术,如实时换脸和Deepfake软件。
最老练的攻击者利用定制的人工智能模型和专门的软件来创建可以响应活体挑战的合成面孔,这使得区分真实和虚构的互动变得越来越困难。
这表明,验证系统在检测未经授权的个人滥用的伪造文件和真实凭证方面面临多层次的挑战。指纹和面部识别等生物特征数据越来越多地用于身份识别和安全目的。然而,最近涉及主要供应商和服务提供商的事件凸显了对这些敏感信息的日益严重的威胁。
抵御不断演变的暗网身份攻击所需的多层缓解措施 iProov的研究人员在减轻这些暗网上的团体收集攻击资源而进行的身份欺诈方面提出了一些重要建议。事实上,这些缓解措施可以归结为一个关键要点:实施多层验证系统。然而,值得注意的是,iProov建议这种方法必须包括确认以下所有内容才能有效:
通过将出示的身份与官方文件进行比对,确认这是正确的人。 通过使用嵌入式图像和元数据分析来确认这是一个真实的人,以便能够最好地检测任何恶意媒体。 通过使用独特的挑战-响应,确认身份验证是实时提交的。 结合技术和威胁情报,以便能够检测、响应和缓解验证系统上的威胁。此托管检测和响应系统必须包括: 持续监控。 事件响应。 主动搜寻威胁。 利用专业知识。 对潜在攻击场景进行逆向工程的技能。 主动构建防御以减少攻击的能力。 IProov表示:“这种多层方法使攻击者成功欺骗身份验证系统的难度成倍增加。即使是先进的攻击也很难同时击败所有这些安全措施,同时保持真正的人类互动的自然特征。”
攻击者已经可以绕过面部生物识别的有效性检测——无需暗网参与 威胁情报和安全专家Group-IB的研究人员已经证明,面部生物识别中的活体检测不再是验证的黄金标准。Group-IB的研究揭示了攻击者如何使用AI生成的深度伪造图像绕过生物特征验证系统,在涉及一家著名印尼金融机构的真实案例研究中,攻击者能够绕过活体检测保护措施。Group-IB的网络欺诈分析师Yuan Huang表示:“利用先进的AI模型,换脸技术使攻击者能够仅使用一张照片实时将一个人的脸替换为另一个人的脸。”这不仅使视频中个人的身份合法化,而且,Huang继续说道,“这些技术可以有效地欺骗面部识别系统,因为它们的切换无缝、看起来自然,并且能够令人信服地模仿实时表情和动作。使用虚拟摄像头软件和使用模仿实时面部识别的预录视频操纵生物特征数据也发挥了一定作用,应用程序克隆的使用进一步使欺诈者能够模拟多台设备,凸显了传统欺诈检测系统中的漏洞。”卡巴斯基年初研究发现,暗网市场上存在深度伪造制作工具和服务。这些服务为各种目的提供GenAI视频创建服务,包括欺诈、勒索和窃取机密数据。
最后,“暗网下/AWX”给考虑在暗网上出售自己的脸部和文件的消费者的建议——无论是否在暗网上出售,都别。如果有人故意从暗网联系你,或者更有可能不是,向你提供现金以换取你的照片和身份证件复印件,请不要这样做。无论短期激励有多大,它都可能很快变成一个代价高昂的错误。
当Group-IB团队的安全研究人员响应一则加入勒索软件即服务(RaaS)行动的广告时,他们与联盟业务中最活跃的威胁行动者之一进行了一次网络犯罪求职面试,结果发现他是至少五种不同勒索软件的幕后黑手。
我们来认识一下“farnetwork”,他在向Group-IB团队的网络威胁研究人员提供了太多细节后被揭穿真实面目,该研究员假装自己是Nokoyawa勒索软件组织的潜在联盟成员。该团队了解到,该网络犯罪分子的别名还包括 jingo、jsworm、razvrat、piparuka 和 farnetworkit。
在卧底研究人员能够证明他们可以执行权限升级、使用勒索软件加密文件并最终要求现金换取加密密钥后,farnetwork准备好了讨论细节。
在通信过程中,Group-IB研究人员了解到,farnetwork已经在各种企业网络中立足,只需要有人采取下一步行动——即部署勒索软件并收钱。Group IB团队了解到,这笔交易的运作方式如下:Nokoyawa附属公司将获得65%的勒索资金,僵尸网络所有者获得20%,勒索软件所有者获得15%。
Group-IB团队在其最新报告中解释说,Nokayawa只是farnetwork正在运行的最新勒索软件操作。威胁行为者最终提供了足够的详细信息,让Group-IB团队能够追踪远网络早在2019年就正在进行的勒索软件活动。
Farnetwork向研究人员吹嘘了过去对Nefilim和Karma勒索软件的操作,以及接收高达100万美元勒索软件付款的情况。骗子还提到了过去与Hive和Nemty的合作。
这些信息足以让Group-IB团队拼凑出Farnetwork过去多产的勒索软件攻击履历。
Group-IB表示,从2019年到2021年,farnetwork是JSWORM、Karma、Nemty和Nefilim勒索软件病毒的幕后黑手。报告补充说,仅Nefilim的RaaS项目就造成了40多名受害者。
到2022年,farnetwork在Nokoyawa业务中找到了落脚点,并于去年2月积极招募该计划的附属机构。
报告称:“根据其运营时间表,可以合理地推断,Farnetwork一直是RaaS市场中最活跃的参与者之一。”
Nokoyawa此后关闭了其RaaS业务,farnetwork也宣布即将退役,但Group-IB研究人员怀疑,该系列勒索软件运营商很快就会以另一种病毒形式再次出现。
Group-IB 的报告称:“尽管 Farnetwork 宣布退休,并且关闭了该攻击者最新的已知项目 Nokoyawa DLS,但 Group-IB 威胁情报团队并不认为该威胁攻击者会退出。” “正如过去多次发生的那样,我们很可能会目睹新的勒索软件附属计划和由 Farnetwork 精心策划的大规模犯罪活动。”
2022年6月至2023年5月期间,超过101100个被盗的OpenAI ChatGPT帐户凭证在非法暗网市场中被发现,仅印度就有12632个被盗的凭证。
Group-IB公司在一份报告中表示,这些凭证是在地下网络犯罪出售的信息窃取日志中发现的。
这家总部位于新加坡的公司表示:“包含被盗取ChatGPT帐户的可用日志数量在2023年5月达到26802个的峰值。”“在过去的一年里,亚太地区经历了最集中的ChatGPT凭证被提供出售的情况。”
ChatGPT凭证被盗数量最多的其他国家包括巴基斯坦、巴西、越南、埃及、美国、法国、摩洛哥、印度尼西亚和孟加拉国。
进一步的分析显示,大多数包含ChatGPT账户的日志被臭名昭著的Raccoon信息窃取工具盗取(78348),其次是Vidar(12984)和RedLine(6773)。
信息窃取工具因其能够从浏览器和加密货币钱包扩展劫持密码、cookie、信用卡和其他信息而受到网络犯罪分子的欢迎。
Group-IB表示:“包含信息窃取工具收集的被盗信息的日志在暗网市场上活跃交易。”
“有关此类市场上可用日志的其他信息包括日志中找到的域名列表以及有关受感染主机的IP地址的信息。”
它们通常基于订阅定价模式提供,不仅降低了网络犯罪的门槛,而且还成为使用被盗凭证发起后续攻击的渠道。
Group-IB威胁情报主管Dmitry Shestakov表示:“许多企业正在将ChatGPT集成到他们的运营流程中。”
“员工输入机密信件或使用机器人优化专有代码。鉴于ChatGPT的标准配置保留了所有对话,如果威胁行为者获得账户凭证,这可能会无意中为他们提供敏感情报的宝库。“
为了减轻此类风险,建议用户遵循适当的密码要求习惯,并使用双因素身份验证(2FA)保护其帐户,以防止帐户被接管攻击。
这一发展是在一个正在进行的恶意软件活动中出现的,该活动利用假的OnlyFans网页和成人内容的诱惑来提供一个远程访问木马和一个名为DCRat(或DarkCrystal RAT)的信息窃取器,这是AsyncRAT的一个修改版本。
eSentire公司研究人员表示:“在观察到的情况下,受害者被引诱下载包含手动执行的VBScript加载程序的ZIP文件。”并指出该活动自2023年1月以来一直在进行。
“文件命名惯例表明,受害者是被利用各种成人电影女演员的露骨照片或OnlyFans内容被引诱的。”
这也是在发现一种名为GuLoader(又名CloudEyE)的恶意软件的新VBScript变体之后,它采用了以税收为主题的诱饵来启动PowerShell脚本,能够检索并将Remcos RAT注入合法的Windows进程中。
这家加拿大网络安全公司在本月早些时候发布的一份报告中表示:“GuLoader是一种高度规避的恶意软件加载程序,通常用于提供信息窃取者和远程管理工具(RAT)。”
“GuLoader利用用户启动的脚本或快捷方式文件来执行多轮高度混淆的命令和加密的shellcode。其结果是一个内存驻留的恶意软件有效载荷在一个合法的Windows进程内运行。”
OpenAI在一份声明中称:“Group-IB的威胁情报报告的调查结果是人们在设备上被种植恶意软件的结果,而不是OpenAI的数据泄露行为。”
“我们目前正在调查已泄露的帐户。OpenAI维护了对用户进行身份验证和授权使用包括ChatGPT在内的服务的行业最佳实践,我们鼓励用户使用强密码并仅在个人计算机上安装经过验证和可信的软件。”