暗网观察

Calibra Solutions公司上周四举办了一场网络研讨会，介绍了其用于改善网络安全的工具，特别强调了暗网威胁情报。

Calibra是一家拥有15年历史的区域解决方案提供商，在总经理George Whyte的领导下，该公司的特立尼达和多巴哥企业和国有企业客户名单令人印象深刻。

Calibra总部位于特立尼达和多巴哥，在加勒比海英语区以及苏里南、阿鲁巴、库拉索和圣马丁等荷语岛提供服务。

该公司提供一系列IT咨询和咨询服务，并通过其合作伙伴Mimics使用Qlik分析和金融应用软件为银行和企业提供业务分析服务。

该公司监控和应对暗网威胁的能力是其业务合作伙伴Searchlight Cyber​​的关注重点。

Searchlight基础设施、安全与合规主管尼克·萨维奇（Nick Savage）表示，该公司的成立源于对比特币的早期探索以及对数字货币在暗网上使用情况的调查。

该公司使用其软件平台访问暗网上的匿名网站，Cerberus用于调查活动，而DarkIQ的任务是利用该情报进行监控和预防性分析。

为此，该公司访问暗网的匿名洋葱网站，以提取有关在那里发布或粘贴的内容的信息，提取和分析有关数据转储和出售用于托管恶意软件的受损硬件的信息。

当Searchlight发现可采取行动的材料（例如泄露的信息和凭证）时，它会与执法部门密切合作。

“Cerberus非常适合对已发生的事情进行调查，或者对您感兴趣的恶意行为者进行调查，或者对您感兴趣的[特定]事物进行调查。”Savage说。

“你可以看到[潜在的不良行为者]目前正在做什么，看看他们还做了什么，并与我们收集到的有关这些行为者的所有情报进行互动，如果你想完成整个过程，这些情报可能有助于将他们匿名化。可能会帮助逮捕他们。”

“我们发现，在对过去发生的事情进行调查时，这项服务也非常有用。我曾不幸在一家企业遭遇勒索软件攻击，导致一切瘫痪。在Cerberus上，我们一周前就收到了关于这种情况发生的预警信号。”

“为了获取我们现有的信息并以更主动的方式呈现它，我们开发了DarkIQ，它可以提供有关信息的警报，为在暗网上操作的威胁行为者提供早期预警信号，这些威胁行为者可能会针对您，这可能针对您正在使用的设备类型、该设备中存在的漏洞或可能针对您需要了解的特定漏洞利用，以带来额外的缓解或保护。”

该公司不仅收集当前的暗网信息，还归档通常只在洋葱网站上短暂存在的数据，并且拥有至少二十年前的记录。

这使得对暗网上不再存在的有关毒品市场、加密货币交易和勒索软件团体的信息进行调查成为可能，从而能够对活动和不良行为者进行更深入的分析和关联。

Savage解释说：“这种开源情报有助于把你从模糊的暗网环境带到可以在现实世界中使用的标识符。”

“对于执法部门来说，[你可能]使用一台服务器，它将为你提供起诉所需的证据。”

“Dark IQ是一个主动监控平台，允许您通过Cerberus收集所有可以收集的数据，但要以主动的方式进行。你不用去寻找所有这些信息，而是以行动的形式将其呈现给你。”

“如果我们发现了与贵公司相关的凭证、与我们认为是高风险来源进行交互的企业 IP 地址、贵公司端点中已发现的漏洞或试图出售访问权限的人员。我们将把这些信息作为一种行动提交给你们，你们将能够做出回应。”

据Savage称，勒索软件组织Conti在运营第一年就获利1.7亿美元。“从国家安全的角度来看，这些都是大企业。”

Savage表示，利用MOVEit漏洞的Clop勒索软件团伙非常成功，他们的网页上一度出现了这样的公告：“请耐心等待，我们很快就会与您联系。”

暗网在互联网骨干网上运行，最初是作为一种为用户提供隐私的手段而开发的，通过理论上的网络结构来创建匿名性。

其中一种结构是洋葱路由，Tor 浏览器就是利用洋葱路由来建立匿名性的。

另一个结构是大蒜路由，这是隐形互联网项目（I2P）用来保持匿名性的方法。因此，我们有一种技术基础设施，试图最大限度地减少或有效消除终端服务器知道它在与谁通信的能力。

此外，Tor 还增加了一些新功能，这些功能被称为“洋葱网站”，即只存在于匿名网络中的网站。

对于Tor的v3洋葱地址，您可以使用洋葱的终端标识符来访问该地址。

然后您将联系目录服务。目录服务将使您能够访问介绍点，介绍点将您带到与洋葱服务器建立连接的视点。

Web服务器和最终用户都不知道对方的身份或IP地址。

这是一个匿名工具。不仅对互联网上的用户进行匿名化，还对网站进行匿名化，对端点进行匿名化，因此每个人都被保留在暗网生态系统中。

洋葱路由器网络建立了最多数量的节点、硬件中继，通过硬件中继贡献算力。

为了维护Tor网络，整个网络有大约一万个这样的中继。

该工具使用加密技术在互联网上建立了一个由这些服务器组成的网络，因此单个中继器不知道下一跃点的跳转情况。

在I2P网络上，服务器自愿成为I2P网络的一部分。

I2P尝试将来自不同人的信息单元组合起来，变成一个加密信息块，然后再通过网络发送。

Tor项目声称，其用户是举报人、记者、博主、IT专业人士、执法人员、商人、“普通”人。

但最著名的用途包括发展毒品市场（丝绸之路、Hansa）和传播虐待儿童的材料。

新闻机构创建暗网站，允许举报人匿名向他们提供信息。如果您所在的国家/地区对网络访问以及连接地点和连接对象有相当多的限制，那么这是一个有用的东西。

Savage报告称，对特定网站的大多数请求要么包含非法材料，要么与非法活动有关。

据称，暗网上有超过500000个Tor洋葱网站。

在旨在未来五年内将消费税征收额提高76亿澳元、耗资近6亿澳元的消费税合规打击行动中，越来越多的犯罪分子开始利用暗网进行税务欺诈活动。

税务局的目标是在12天内退还合法的商品及服务税（GST）申请，但总额近40亿澳元的欺诈性索赔激增，使人们开始关注数字化如何使诈骗者能够迅速利用澳大利亚的自我评估税收系统。

澳大利亚税务局（ATO）的“保护行动”（Operation Protego）阻止了其中约 27 亿澳元的索赔，但税务官员注意到，越来越多的人从暗网上购买“工具包”以支持税务欺诈。

越来越多的犯罪分子开始利用暗网进行消费税欺诈。

今年早些时候，澳大利亚税务局副局长约翰·福特（John Ford）透露，商品及服务税欺诈是有史以来最大的税务欺诈，澳大利亚税务局发现使用暗网软件的诈骗活动不断增加。

福特先生说：“就像你可以从暗网上购买‘工具包’一样，有许多恶意行为者提供‘身份犯罪支持包’，越来越多的证据表明，对于那些愿意冒着风险以自己的名义实施诈骗的人来说，也存在着同样类型的支持。”

他说，“税务欺诈模式”的这种变化是在新冠疫情之后出现的，其中包括发明虚假企业来索取他们无权获得的商品及服务税退税。

今年3月，暗网黑客论坛CryptBB上发布了一份澳大利亚退税申报欺诈教程列表。这个著名的暗网“洋葱”网站主要由英语黑客使用。洋葱网站使用.onion域名并启用加密连接来保护不良行为者的身份和位置。

随着商品及服务税合规已成为税收改革的主要领域，澳大利亚税务局目前正在应用先进的人工智能工具来打击商品及服务税欺诈行为。

今年5月，澳大利亚税务局赢得了5.89亿澳元的资金，用于在四年内开发更复杂的分析工具，以应对商品及服务税制度出现的新风险。据估计，未来五年加强欺诈和合规控制将使收入增加76亿澳元，付款增加38亿澳元。

预算文件称：“这些活动将确保企业履行纳税义务，包括准确核算和缴纳商品及服务税，以及正确申请商品及服务税退税。”

商品及服务税直接分配给各州，本财年将分享860亿澳元的商品及服务税净税收。

欺诈者能够轻松地使用数字自助服务系统，这也引发了人们对是否需要加强身份控制以访问澳大利亚税务局门户以及通过联邦服务门户myGov的疑问。

虽然澳大利亚税务局表示，大多数所谓的TikTok商品及服务税欺诈行为并不涉及直接的身份盗窃，但福特表示，需要强有力的身份控制。

福特表示：“欺诈行为的成功与否与身份验证过程的强度直接相关——这就是我们对钥匙以及使用我们前门钥匙的人的强度和信任度。”

他表示，即使加强了控制，攻击的规模也会迅速扩大，犯罪分子也会迅速做出反应。

财政部长凯蒂·加拉格尔（Katy Gallagher）承诺对数字身份系统进行重大升级，使各机构在访问税务和健康等敏感服务之前，需要进行“强”数字身份验证（称为3级身份证明）。

目前的身份系统接受护照，但不接受驾照，无法实现最高级别的身份证明。48%的澳大利亚人没有澳大利亚护照，因此无法获得“强大的”数字身份。

在商品及服务税的退税期间，税务局不得不在快速退税的同时，审查申请是否存在潜在的欺诈行为。

该发言人表示：“对这些控制措施进行微调非常重要，以免无意中捕捉到真正的初创企业，而这些企业往往急需商品及服务税退税来实现现金流。”

在加强欺诈和合规控制措施的同时，税务局也承认，要在提高数字效率的需求与欺诈者能够轻松快速地骗取数十亿澳元的消费税退税之间取得平衡是一项挑战。

福特表示：“我们发现，随着我们提供的服务日益数字化，欺诈风险也随之增加。”

“对于自我评估税收系统来说，这种第一人称欺诈是一个特别棘手的问题。我们知道，我们不能简单地拉起吊桥来保护我们的城堡，尤其是在我们进入综合税收生态系统的时候。“

“我们希望合法客户及其顾问能够继续以数字方式与我们互动，而且相对轻松。但是，我们需要在提供服务的便捷性与保护税收系统完整性的需要之间取得平衡。”

托管安全服务提供商（MSSP）处于新兴市场趋势的前沿，这意味着他们需要识别并采用最新技术，以最大限度地保护客户，并与竞争对手保持同步。

过去几年，随着企业越来越意识到网络攻击源自他们看不到的市场、论坛和网站，对暗网情报的需求猛增。因此，大多数MSSP已经开始满足客户对暗网威胁洞察的需求也就不足为奇了。

但是，尽管许多MSSP已经开始进行暗网监控，但我们的最新研究发现，35%的MSSP认为暗网监控过于复杂，而近三分之一（29%）的MSSP认为暗网监控与其提供的服务无关，18*+%的MSSP还不相信他们能够销售暗网监控服务。

由于34%的MSSP没有看到暗网监控工具的价值，一些提供商可能会错过对网络犯罪分子讨论和策划未来攻击的网络犯罪黑社会提供重要洞察的机会。

因此，MSSP有机会利用暗网情报的力量来保护其客户免受网络威胁。

暗网情报和“网络杀伤链”

当我们谈论网络安全时，安全团队的大部分资源和工具都集中在“网络杀伤链”（网络犯罪分子实施攻击时必须采取的一系列行动）的后期阶段。

例如，电子邮件安全工具位于网络攻击的“传递”阶段，而端点、网络和防病毒安全解决方案则专注于识别攻击者穿越企业基础设施时的后续活动。

随着网络犯罪分子不断发展其能力和技能，以便能够绕过现有的安全解决方案，防止攻击并不总是像不点击网络钓鱼链接那么简单。为了提供最佳机会破坏网络犯罪分子在客户端系统中的操作，MSSP需要“向左转”，并尽早在网络“杀伤链”中代表客户采取行动。

暗网情报允许MSSP调查“杀伤链”的开始阶段，此时威胁分子正在暗网黑客论坛上策划网络攻击，并在恶意市场上购买他们需要的漏洞利用程序和工具。

通过尽早干预，MSSP可以削弱攻击计划产生的影响，并建议客户如何采取预防措施，从一开始就阻止其网络遭到破坏。

MSSP的市场地位要求他们成为早期采用者，能够识别最新的工具和技术来保护其客户。因此，毫不奇怪，56%的MSSP已经开展了暗网情报工作，并认识到了其中的好处。

各种规模的公司都越来越意识到暗网威胁，以及暗网情报可以帮助他们识别早期攻击预警信号方面所蕴含的机遇。

这为MSSP创造了一个机会，使其能够以暗网情报为基础，提供分析、专业知识、服务和解决方案，帮助客户应对他们耳熟能详的暗网风险。

满足客户需求

根据我们的研究，客户对暗网的兴趣一直在增加，65%的MSSP表示他们的客户曾要求提供暗网威胁情报。

这是为什么？这个需求主要有三个原因。首先，由于网络安全的可见性至关重要，客户希望识别影响其企业的漏洞。其次，他们想知道他们或他们的竞争对手目前是否成为暗网的攻击目标。第三，他们希望拥有包括活跃在威胁环境中的勒索软件团伙在内的威胁组织的情报，并根据情报采取行动。

因此，随着暗网监控主题的日益突出，随着越来越多的客户寻求有关暗网的指导，那些已经开始构建自己能力、数据来源和理解能力的MSSP将能够受益，从而在竞争激烈的托管安全服务市场中占据优势。

释放MSSP的优势

除了为客户带来显着利益外，MSSP还可以从商业角度利用暗网情报。当被问及使用暗网情报的好处时，37%的MSSP表示，暗网情报有助于他们识别暗网上的客户详细信息，紧随其后的是为他们提供新的产品和服务，以便向客户销售，并使他们当前的服务更有效率。

通过在网络杀伤链中“左移”，MSSP能够从对威胁做出反应转变为主动预防威胁的发生。这具有良好的商业意义，因为这意味着MSSP可以根据暗网上公开和/或讨论的属性来记录和展示价值。

这也意味着MSSP不必等到客户被入侵后才能证明自己的价值，他们往往可以从第一天起就发现可能影响组织的威胁。

研究表明，威胁情报最常见的用途是为渗透测试和安全审计提供信息（35%），其次是为事件响应提供信息（34%）。在一次性业务中使用暗网情报的MSSP缺少将暗网情报整合到其价值主张中的技巧，从而无法获得经常性收入，而他们可以在这些收入中逐月资本化。

MSSP将暗网监控纳入其安全管理和SOC服务中，为客户提供持续的暗网风险视图，并在出现严重情况时立即向他们发出警报，这是一个巨大的机遇。

犯罪活动的动荡本质意味着暗网的更替和变化速度比明网更快。市场、论坛和犯罪团伙突然出现，声名鹊起，与其他犯罪分子和执法部门发生冲突，然后消失得也快。

因此，暗网威胁预防并不是每六个月或每年就能完成的事情。如果企业想要真正了解暗网上的威胁风险，他们需要MSSP持续监控并提供有意义的见解，以实现有效的网络安全保护和健康的网络态势。

白蛇（White Snake）盗号程序被用于俄罗斯的网络钓鱼活动，这些数据是由信息安全公司Bi.Zone的研究人员公布的。他们声称，被用于盗号的欺诈性钓鱼电子邮件据称是以俄罗斯国家监察委员会（Roskomnadzor）的名义发送给俄罗斯公司的。

该钓鱼活动的受害者收到的电子邮件附有包含多个文件的档案。其中第一个是钓鱼文件，其目的是转移受害者的注意力，使其相信第二个文件的安全性，而第二个文件正是”白蛇“的窃取者。

”暗网这个互联网的阴暗部分为实施针对性攻击提供了越来越好的工具，这些工具不仅可以让您绕过传统的防御系统，还可以为攻击者提供实现其目标所需的所有工具。此类恶意软件的价格低廉和易用性，不可避免地导致针对性攻击数量的增加。为了有效防范此类威胁，仅仅部署信息安全防护工具是不够的，还需要及时响应事件并进行调查。”Bi.Zone专家指出。

暗网网站XSS.is站点的管理人员立即对发布该软件的用户做出了反应。在那里，网站用户“White Snake”因该恶意软件“在俄罗斯使用”而被封号。

”白蛇“盗号软件的代表首先警告了其Telegram频道的用户，随后在XSS.is网站帖子中发表了评论，证实他们遇到了问题。

“由于一些业余爱好者修改了代码构建并取消了不得针对独联体（CIS）国家的检查，我们被迫暂停销售，直到情况得到澄清。”一名代表写道。

一般而言，在暗网地下论坛Exploit.in与XSS.is销售的恶意软件，不允许针对包括俄罗斯在内独联体国家，在这些恶意软件的代码里都有此类限制。

一家暗网服务公司声称提供监视受害者的服务，同时声称该服务将由俄罗斯特种部队前雇员完成。

一般情况下，暗网里的这些服务往往都是由俄罗斯的前安全官员提供的，但他们来自更平凡的部门，而非特种部门。正常的暗网广告中很少出现这种特种服务。

宣传帖子谈论了对目标人物的监视或反监视工作，同时还说，据说“这项工作是由特种部队的前雇员且经验及其丰富的雇员进行的”。他们随时准备向客户提供报告、照片和视频材料、旅行路线和召开的会议数据。这项服务的费用为每监控12小时30000卢布（折合人民币约2300元），或每天50000卢布（约3800元）。

与此同时，俄罗斯主要城市——莫斯科、圣彼得堡、叶卡捷琳堡、车里雅宾斯克、新西伯利亚、伊尔库茨克，甚至南萨哈林斯克——都被列为提供该服务的主要地区。此外，还有两个联邦主体——车臣和鞑靼斯坦。这样的地理位置似乎表明有大量员工随时准备好履行订单。该暗网广告还表示，允许员工前往世界任何地点出差。

Guardz发现了专门针对苹果电脑操作系统macOS的隐藏虚拟网络计算（hVNC）恶意软件。该恶意软件可在俄罗斯主要暗网论坛Exploit上找到，它允许网络犯罪分子在不被发现的情况下获得并维持对受害者Mac计算机的持续未经授权的访问权限，这表明了越来越多以macOS为重点的攻击即服务的工具的出现，令人担忧。

虽然网络犯罪分子主要是针对微软Windows设备大规模设计恶意软件，但他们现在越来越多地开发适用于macOS的工具。这种转变直接影响到苹果的macOS设备被广泛使用的中小企业（SME）。

传统的虚拟网络计算（VNC）软件允许用户在获得许可的情况下通过网络远程控制另一台计算机，通常用于远程技术支持。hVNC是该技术的恶意变体，通常通过电子邮件附件、恶意网站或漏洞利用工具包等攻击载体进行分发传播。基于macOS操作系统的hVNC自2023年4月起推出，最近于2023年7月13日进行了更新，并在从10到13.2的各种macOS版本上进行了测试。它的终生售价为6万美元，附加功能需额外付费，由Exploit论坛的活跃成员RastaFarEye提供。RastaFarEye拥有丰富的恶意活动记录，已经开发了Windows操作系统hVNC变种以及其他攻击工具。

该macOS恶意软件运行隐蔽，无需请求用户许可即可获取访问权限，并故意隐藏其存在以逃避中小企业的检测。即使在系统重新启动或尝试删除后，其持久性机制也可确保其持续活动。它主要用于实施数据盗窃，重点是从受感染计算机中提取敏感信息，包括登录凭据、个人数据、财务信息等。这种集隐秘性、持久性、数据窃取和远程控制于一体的功能使得该恶意软件成为恶意行为者手中非常受欢迎和有力的工具。

面对macOS恶意软件的威胁，用户需要提高警惕，采取以下防护措施:

1、加强安全意识，不要轻信各种弹窗广告，避免点击来历不明的链接和下载附件，防止中毒。
2、只下载来自官方渠道的软件，不要安装来源不明的应用程序。对于关键软件和系统进行及时更新，补丁可以修复安全漏洞。
3、使用杀毒软件进行实时监控，发现可疑文件进行隔离或删除。同时开启防火墙，过滤不安全连接。
4、定期扫描全盘，检查是否有恶意软件残留。同时清理不需要的浏览器插件。
5、做好数据备份，一旦发现系统被入侵，可以清除重装来净化环境。
6、使用复杂强密码，开启两步验证，防止账号被恶意软件操纵。
7、提高技术知识，了解常见的社会工程学攻击手段，不要轻易上当受骗。
8、在发现异常时，及时联系专业技术人员寻求帮助，不要盲目操作，以免误删重要文件。

暗网是互联网的一个隐藏领域，一直吸引着好奇的求知者和恶意的行为者。这是匿名统治的地方，活动范围从无害的讨论到非法交易。

随着世界变得更加互联互通，了解暗网用户在全球的分布变得至关重要。本文将探讨2023年暗网用户数量最多的前10个国家，以及其背后的潜在原因。

1、美国

美国是暗网用户数量最多的国家。美国人口众多，互联网普及率高，这些都是美国获得这一殊荣的原因。此外，美国在技术和网络安全领域的重要作用也可能导致更多的人探索网络的黑暗角落。

2、俄罗斯

俄罗斯位居第二，拥有相当数量的暗网用户。俄罗斯以窝藏老练的网络犯罪分子而闻名，因此在暗网中占据大量席位也就不足为奇了。宽松的网络法规和黑客社区的盛行等因素可能导致这种突出地位的原因。

3、中国

中国出现在这份名单上似乎出乎意料地，然而，中国精通技术的人经常找到绕过防火墙的方法，从而形成了相当庞大的暗网用户群。匿名和获取受限信息的诱惑可能是这一趋势背后的驱动力。

4、英国

英国的暗网用户数量也相当可观。由于拥有大量的技术爱好者和强大的数字基础设施，一些人可能会因为各种原因而被吸引到暗网中，包括从事非法活动。

5、德国

德国以精通技术而著称，这也是其在暗网上存在的原因之一。虽然大多数人出于合法目的使用互联网，但也有一小部分人出于好奇或参与非法活动而探索暗网。

6、法国

法国也跻身到暗网用户最多的10个国家之列，其蓬勃发展的科技社区和精通互联网的人口可能是其在暗网中占有显著比例的原因。

7、巴西

巴西在这份名单中的位置可能会让人惊讶，但其蓬勃发展的科技领域和互联网在该国的日益普及发挥了一定作用。经济因素也可能促使一些巴西人在暗网上寻找其他收入途径。

8、印度

印度人口众多，互联网普及率不断提高，因此暗网用户也在增加。经济差距和通过网络犯罪快速获利的诱惑可能是造成这一趋势的部分原因。

9、加拿大

加拿大出现在这份名单上可能要归功于其发达的互联网基础设施和精通技术的人口。然而，值得注意的是，并非所有暗网用户都参与犯罪活动。

10、澳大利亚

澳大利亚的暗网用户数量位居前十。澳大利亚互联网普及率高，人们对技术的兴趣与日俱增，一些澳大利亚人可能会出于好奇而涉足暗网。

结论

暗网仍然是互联网中一个神秘且充满争议的角落。虽然它是非法活动的集散地，但它也是那些寻求匿名和不受限制地获取信息的人们的避难所。暗网用户在不同国家的分布反映了多种因素的复杂相互作用，包括人口规模、互联网接入和技术采用情况。

本文提到的国家必须解决促使个人走向暗网的根本问题。通过提高网络安全意识、实施健全的法律和解决经济差距等问题，社会可以努力减轻暗网的不利影响。

常见问题解答

1、访问暗网是否违法？

访问暗网本身并不违法，但其中进行的某些活动或者行为可能违法。请务必谨慎行事，避免从事非法活动。

2、浏览暗网时如何保证安全？

使用可靠的VPN、安全的浏览器并保持良好的网络安全习惯，可以帮助在探索暗网时保护您的身份和数据。

3、暗网可以关闭吗？

鉴于其去中心化的性质，完全关闭暗网极具挑战性。各国政府应该专注于逮捕网络罪犯和解决非法活动。

4、所有暗网用户都是犯罪分子吗？

不，并非所有暗网用户都参与犯罪活动。有些人可能出于好奇或保护自己的隐私而访问暗网。

5、暗网有哪些合法用途？

记者、活动人士和举报人可以使用暗网进行匿名交流，分享敏感信息，而不必担心遭到打击报复。

在数字时代，网络间谍活动的兴起已成为国家安全的重大问题。全球暗网是互联网的一个隐藏部分，非法活动经常发生，它已成为网络间谍活动的温床，影响着各国制订安全战略的方式。

网络间谍活动是一种利用数字工具和技术窃取敏感信息的行为，在过去十年中发生了巨大变化。它已经从科幻小说的领域变成了世界各国政府正在努力应对的实际威胁。暗网是互联网中不被搜索引擎收录的一部分，只有通过特殊软件才能访问，它已成为这种新型间谍活动的关键角色、关键参与者。

暗网为黑客、间谍和其他恶意行为者提供了一个相对匿名的操作平台。这导致网络间谍活动增加，国家支持的黑客利用暗网渗透政府网络、窃取敏感信息并破坏关键基础设施。对国家安全的影响是深远的，因为这些活动可能破坏一个国家的经济稳定、政治完整和军事能力。

全球暗网情报，即从暗网收集和分析信息的过程，已成为国家安全战略的重要组成部分。各国政府和网络安全公司正在暗网情报方面投入巨资，以应对网络间谍活动造成的威胁。他们正在使用先进的技术和工艺来监控暗网，识别潜在威胁，并采取主动措施来保护他们的网络和数据。

然而，这项任务并不容易。暗网规模庞大且不断变化，因此难以追踪溯源和分析取证。此外，暗网提供的匿名性使得识别网络间谍活动的实施者变得十分困难。尽管存在这些挑战，暗网情报在影响国家安全方面的重要性怎么强调都不为过。

网络间谍活动的兴起也导致各国处理国家安全问题的方式发生转变。实体防御和外交谈判等传统的安全措施已不再足够。各国现在还必须关注网络防御，制定强有力的网络安全战略来保护其数字资产。这包括投资先进技术、培训网络安全人员以及与其他国家合作分享情报和最佳实践。

网络间谍活动的兴起以及暗网在促进网络间谍活动中的作用也引发了一场关于安全与隐私之间平衡的辩论。虽然政府需要监控暗网以保护国家安全，但也必须尊重公民的隐私权。这是各国在应对网络间谍活动带来的挑战时，必须把握好的微妙平衡。

总之，网络间谍活动的兴起以及全球暗网在促进网络间谍活动中的作用极大地影响了国家安全。世界各国政府正在投资暗网情报，并制定强有力的网络安全策略来应对这些威胁。然而，他们还必须在安全和隐私之间找到微妙的平衡。随着数字环境的不断发展，各国在网络间谍新时代保护自身安全的策略也将随之发展。

继WormGPT之后，另一个名为FraudGPT的恶意聊天机器人已在暗网上浮出水面。这种人工智能驱动的聊天机器人可通过订阅获得，旨在协助网络犯罪分子发起网络钓鱼活动和诈骗。

随着再生人工智能模型的日益普及，聊天机器人在网络空间中变得越来越普遍。网络犯罪分子利用了这一趋势，选择越狱生成式人工智能来创建恶意聊天机器人。

据Netenrich的威胁研究人员称，FraudGPT于2023年7月22日出现在Telegram频道上。该聊天机器人是专门为协助鱼叉式网络钓鱼、创建破解工具和进行梳理而设计的。它可以有效地编写诱人的电子邮件、选择目标，并确定最佳服务或网站来欺诈用户。

FraudGPT为网络犯罪分子提供了多项关键功能，包括协助黑客攻击、定位欺诈网站、编写恶意代码和诈骗信件或页面、创建无法检测的恶意软件和网络钓鱼页面，以及查找漏洞、泄漏和非VBV储藏库。

该聊天机器人目前在暗网市场和Telegram上出售。每月订阅的起始价格为200美元，而每年订阅的费用最高可达1700美元。FraudGPT的创建者声称，该聊天机器人已获得3000笔销售和好评。

值得注意的是，FraudGPT的创建者是Telegram的新人，并在各种地下暗网市场上注册。这些平台的易用性促使创建者通过Telegram寻求无缝的收入来源。

FraudGPT和WormGPT等恶意聊天机器人的出现令人担忧，因为它们使网络犯罪分子能够利用人工智能实现邪恶目的，从而提高网络钓鱼诈骗的成功率。这些聊天机器人帮助攻击者生成恶意文本，并引诱目标无意中遭受基于电子邮件的攻击，例如商业电子邮件入侵（BEC）。

网络犯罪分子引入人工智能驱动的工具，凸显了加强网络安全工作以应对暗网不断演变的威胁的必要性。

根据Searchlight Cyber​​的研究，银行业越来越多地成为暗网上出售初始访问权限的目标。

这家暗网情报公司还发现了内部人员在暗网上分享其组织信息或被网络犯罪分子招募的证据，以及威胁行为者对金融服务供应链进行基础设施侦察的证据。

但该公司在一项新研究中表示，这些隐藏在暗网上显而易见的威胁也给银行带来了巨大的机遇。

该公司表示：“当犯罪分子仍处于行动的‘攻击前’阶段时，暗网情报会提醒他们潜在的恶意活动；安全团队可以根据未来可能发生的情况来调整和改进他们的防御措施，而不仅仅是对过去发生的事情做出反应。”

这项研究基于Searchlight Cyber​​分析师使用2020年至今收集的暗网数据进行的调查。

初始访问经纪人以银行为目标

在暗网上观察到的针对银行业的绝大多数活动都包括初始访问经纪人的帖子，向第三方威胁行为者出售银行系统的访问权限。研究人员发现，暗网黑客论坛（例如Exploit、XSS和BreachForums）上宣传了各种不同类型的访问广告。

该公司表示：“对于安全团队来说，初始访问中介活动的数据可以成为攻击前情报的宝贵来源。”研究人员还观察到勒索软件团体与其中一些帖子进行互动。

银行安全团队和独立安全研究人员可以使用这些帖子来分析发布信息并与之交互的参与者的能力，并评估威胁级别。

在最初的访问中介帖子中，通过远程桌面协议（RDP）和虚拟专用网络（VPN）提供远程网络访问的帖子最为常见。利用特权帐户可能会导致在系统上部署恶意软件或勒索软件、控制操作基础设施、访问敏感数据库和文件存储，以及收集用于勒索受害者支付赎金的机密信息。

Searchlight Cyber​​还发现了几篇出售Webshell的帖子，这些Webshell可用于在受感染的系统中安装后门或获取远程代码执行（RCE）权限，一旦被利用，攻击者就可以让应用程序执行他们选择的代码，而不是执行应用程序应该做的事情。

暗网上的内部威胁活动

研究人员还观察到利用暗网的两个主要内部威胁。第一个是拥有组织系统访问权限的员工在暗网上发布广告，而第二个威胁行为者则试图在暗网上招募恶意内部人员。

Searchlight Cyber​​表示：“对于必须将具有特权访问权限的恶意内部人员视为其威胁模型一部分的安全团队来说，这些帖子确实为调查和减轻受感染员工的风险提供了一个宝贵的起点。”

该网络安全公司建议，安全团队还应该了解并监控使用Tor等工具访问暗网网络、与更广泛的网络犯罪黑社会进行通信或泄露数据的员工。“除了监控暗网论坛是否存在恶意内部人员之外，Tor和公司网络之间的流量也可以用作潜在内部威胁的预警信号。”它表示。

威胁行为者还利用暗网进行协作和规划攻击路径，对此进行监控可以提供阻止入侵行为的机会。

Searchlight Cyber​​表示：“这两种策略非常重要，因为它们是唯一关注网络被入侵之前的时间段的策略。”

银行和金融机构还应该监控暗网，以获取关键供应商的详细信息，因为这可以帮助他们识别何时成为威胁行为者的目标。

“例如，持续搜索员工凭证、IP地址、公司数据集、设备和软件，可以提醒企业注意针对其供应商的可疑活动，这些活动可能预示着潜在的攻击。”它说。