微軟聯手 Cloudflare 查封 338 網域　瓦解釣魚即服務集團「RaccoonO365」

微軟數位犯罪防護部門（Digital Crimes Unit）宣布與 Cloudflare 合作，成功查封 338 個由 RaccoonO365 使用的網域。該惡意組織提供釣魚即服務（PhaaS）工具包，自今年 7 月起已從全球 94 個國家竊取超過 5,000 組微軟 365 帳號憑證。

法院裁定查封惡意網域

微軟數位犯罪防護部門助理總法律顧問 Steven Masada 表示，依據紐約南區法院裁定，他們查封了 338 個與該熱門服務相關的網站，成功中斷其技術基礎設施，切斷犯罪者對受害者的存取途徑。

本案凸顯網路犯罪者無需掌握複雜技術就能造成廣泛危害。像 RaccoonO365 這類簡易工具使網路犯罪門檻大幅降低，讓數百萬使用者面臨風險。

Cloudflare 於 9 月 2 日啟動第一階段打擊行動，隨後在 9 月 3 日和 4 日進行後續操作。行動內容包括封鎖所有已識別的惡意網域、在這些網域前添加「釣魚警告」頁面、終止相關 Workers 腳本，並停用相關用戶帳號。整個行動於 9 月 8 日完成。

訂閱制犯罪服務月收十萬美元

微軟以代號 Storm-2246 追蹤的 RaccoonO365 採用訂閱模式銷售給其他網路犯罪者，讓他們無需專業技術知識就能發動大規模釣魚攻擊與憑證竊取。該服務以 355 美元提供 30 天方案和 999 美元 90 天方案。

經營者宣稱其服務建立在防彈虛擬私人伺服器上，且不含隱藏後門，並強調「專為真網路犯罪者設計，不歡迎低預算的蹭飯族」。

更有截圖顯示，RaccoonO365 提供 600 美元的年費訂閱，以及 30 天和 60 天授權的優惠方案。此外，管理員已開始推廣新型 AI 驅動服務「RaccoonO365 AI-MailCheck」。

大規模憑證盜竊橫跨 94 國

Masada 指出，自今年 7 月以來，RaccoonO365 工具包已從全球 94 個國家竊取至少 5,000 組微軟帳號憑證。RaccoonO365 曾針對美國超過 2,300 個組織發動稅務主題的網路釣魚活動，微軟表示其工具包還攻擊了至少 20 個美國醫療機構。

Masada 指出，這對公共安全構成嚴重威脅，因為RaccoonO365 的釣魚郵件通常是惡意程式和勒索軟體攻擊的前兆，對醫院會造成嚴重後果。

訂購方案允許使用者輸入多達 9,000 個電子郵件地址作為自動釣魚攻擊目標，同時還提供垃圾郵件發送、繞過電子郵件安全過濾機制及完整的基礎設施支援等服務。重要的是，該服務利用微軟自家的 Azure 服務來竊取微軟帳號憑證。

精心設計的社交工程攻擊

RaccoonO365 採用多種網路釣魚技術，冒充 DocuSign、SharePoint、Adobe 等知名品牌發送電子郵件。其憑證竊取機制主要隱藏在電子郵件的附加連結或 PDF 等文件中。

根據報告，RaccoonO365 的釣魚郵件會巧妙偽裝成目標公司內部可信任的品牌或組織，並利用熟悉的工作場所主題來建立信任並製造緊急感。

這些攻擊使用的檔案名稱模仿日常工作文件，如財務報表、人資文件、政策協議、合約和發票等。在某些情況下，攻擊者還會將收件人姓名納入連結或附件中，進一步提高可信度。這類精心設計的社交工程技術大幅增加使用者點擊機率，使他們誤以為這些訊息是合法的。

揭露幕後黑手身分

微軟識別並揭露 RaccoonO365 的主謀是來自奈及利亞的 Joshua Ogundipe。Masada 表示，他和其同夥已透過加密貨幣收取至少 10 萬美元，相當於約 100 至 200 個訂閱量。微軟認為這數字可能還低估了實際銷售的訂閱數量。

微軟的部落格文章揭露，RaccoonO365 是結構完善、類似企業運作的犯罪集團。Ogundipe 及其同夥在這個網路犯罪組織中分工明確，共同開發並銷售這項服務，同時為其他網路犯罪者提供客服支援，協助他們竊取微軟用戶資訊。

為了掩蓋犯罪行為並逃避偵測，他們使用虛構姓名和實體地址註冊網域，這些地址據稱分布在多個城市和國家。

三天「拔地毯行動」成功瓦解

Cloudflare 表示已與微軟和美國執法單位合作成功瓦解 RaccoonO365 網絡，利用註冊模式分析繪製出攻擊者的基礎設施圖，並在本月初對該組織執行為期三天的「拔地毯行動」（rugpull）。

Cloudflare 的行動包括封鎖所有已識別的惡意網域、在這些網域前置入釣魚警告攔截頁面、終止相關 Workers 腳本，並停用用戶帳號以防止其再次註冊。

這次聯合行動展現了科技業者與執法單位合作打擊網路犯罪的成效，也警示企業和個人用戶提高對釣魚攻擊的防範意識。

本文轉載自 DarkReading、TheHackerNews。