几天前,BreachForums论坛在暗网与明网均陷入瘫痪,“暗网下/AWX”已经提醒小心谣言及诈骗信息了,但未曾想到,除了谣言诈骗,还有假冒网站,一个新的所谓替代网站“breached[.]fi”突然出现,甚至威胁情报研究者都认为这是BreachForums论坛更换的新明网域名,但这个网站大概只是一个新的蜜罐。
之前“暗网下/AWX”得到的关于的消息:“目前的情况通报如下:Shiny删除了他的Telegram,但没有对任何版主说过一句话。Hollow昨天还在线,但没有理会任何信息,并更改了最后一次在线时间的设置。目前,Shiny和Hollow都应被视为Sus,直到有更多信息出现。”
事实上,之前就有网友在Telegram提醒:“Breachforums似乎暂时瘫痪了,没有替代品或新的域名。不要上当受骗或被骗入蜜罐。注意安全。”然而,无数黑产从业者对BreachForums论坛的需求是趋之若鹜的,有网友在Telegram群组大声呼唤:“我需要breachforums”。
于是一个假冒网站“breached.fi”应运而生,宣称自己就是Breachforums的新域名,新网站Owner是Anastasia,并发布了一个公告:
亲爱的社区成员:正如你们许多人所注意到的,BreachForums的基础设施突然下线了。
这是由于一个意外问题造成的,主要是因为之前负责管理基础设施的Shiny已经失联,我们无法联系到他。
鉴于此,我们决定彻底重建。我们已经准备好了一个全新的基础设施,并将使用全新、干净的源代码库。这确保了之前版本中不存在任何未知的后门或漏洞(无论有意或无意)。
安全和稳定是我们未来的首要任务。新论坛即将上线。
感谢您的耐心等待和持续支持。
看起来有点像官方声明,只不过,这是一个假冒网站。DarkWebInformer(@DarkWebInformer)在X里提醒:
BreachForums的PGP无法与breached[.]fi上的金丝雀(canary )进行验证。请自行承担使用风险。请始终遵循“信任但要验证”的方法。您可以随时使用我的PGP验证工具。
对此,vxdb(@vxdb)在第一时间转发假冒网站的公告后随即删除了他的推文,并发布道歉推文:“我发表的关于Anastasia公告的帖子是在一个假冒的breakforums网站上发布的。我本该尽职尽责,确认该域名是否合法。我向您道歉,我已经删除了原帖。”
hasan(@sextorts)有一些内幕消息,他表示:breached[.]fi和breakforums[.]st一样其实都在记录用户的IP,但这不是重点,重点是Anastasia和Shiny都有访问域名的权限,当时IntelBroker在,没有他们的许可,无法连接任何DNS。直接判断breached[.]fi是假冒的方法是其没有数据库,因为除了拥有网站正面的快照外,没有人可以真正登录该网站。
hasan称自己是一个OSINTer(威胁情报研究者),而不是一个入侵者,因此他注意到的这些事情高于其他人的第一手资料的。他的几点担心:
- 新网站并没有BreachForums的数据库,虽然前端网站的存档快照清晰可见,但人们根本无法登录网站
- 新域名托管在芬兰的 .fi ccTLD 上,与圣多美和普林西比的 .st 相比,.fi ccTLD 需要符合北约和欧盟的规定,而 .st 则不需要符合 MLAT 的规定
- 启动新的BreachForums项目,似乎恢复一些强大而不是蜜罐的东西,但现在看起来像联邦调查局的人。
- breakforums[.]st域名解析在DDoS guard,尽管BreachForums通常在被攻破后会更换主机,但DDoS guard本身被攻破,因此breachforums[.]st没有启动。但现在如果它在一个符合欧盟和其他执法机构要求的新域名上启动,这很不合理。
- IP记录,它肯定会记录您的IP,因为DDoS防护选择的主机是cPanel,但从外观上看,它有更多的JavaScript路由,可能会记录您的cookies等信息。
技术分析的非常全,也与“暗网下/AWX”前面提醒的类似,这时候冒出来的网站、Telegram群组大概率都是冒充。BreachForums接下来有什么故事,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。