Полиция Нигерии объявила о задержании трех человек, связанных с деятельностью фишинговой платформы Raccoon0365 — сервиса формата Phishing-as-a-Service (PhaaS), использовавшегося для массовых атак на корпоративные учетные записи Microsoft 365. Операция стала возможна благодаря техническим данным, предоставленным Microsoft и переданным ФБР, а затем — в Национальный центр по борьбе с киберпреступностью полиции Нигерии (NPF-NCCC).
Арест в Нигерии: кого считают причастным к Raccoon0365
По данным правоохранительных органов, оперативники NPF-NCCC провели скоординированные мероприятия в штатах Лагос и Эдо. В ходе обысков были изъяты ноутбуки, мобильные телефоны и иное цифровое оборудование, которое после криминалистического анализа связали с работой мошеннической платформы. Полиция подчеркивает, что детализированный технический след от инфраструктуры Raccoon0365 позволил напрямую соотнести устройства с фишинговой активностью.
Среди задержанных фигурирует Okitipi Samuel, известный в сети под псевдонимами Raccoon0365 и Moses Felix. Следствие считает его основным разработчиком платформы и администратором приватного Telegram-канала, через который распространялись фишинговые комплекты (фишинг-киты). На момент закрытия сервиса в канале было свыше 800 участников.
Двум другим задержанным пока официально не вменяют прямое участие в разработке или эксплуатации Raccoon0365 — их роль в схеме уточняется. Примечательно, что в заявлении нигерийской полиции не упоминается Joshua Ogundipe, ранее идентифицированный исследователями Microsoft как предполагаемый лидер группировки, стоящей за сервисом.
Как работал фишинговый сервис Raccoon0365 (PhaaS)
Raccoon0365 представлял собой коммерческий PhaaS-сервис, который позволял клиентам без глубоких технических навыков запускать масштабные фишинговые кампании против пользователей Microsoft 365. Такой подход типичен для современных киберугроз: платформа берет на себя разработку и поддержку инфраструктуры, а подписчики сосредотачиваются на выборе целей и монетизации украденных данных.
Клиентам Raccoon0365 предоставлялись инструменты для генерации фишинговых писем, вложений со ссылками и QR-кодами, а также готовые фишинговые сайты, визуально имитирующие страницы авторизации Microsoft 365. После перехода по ссылке жертва вводила свои учетные данные, которые немедленно отправлялись операторам сервиса, часто вместе с cookie-файлами сессии, что позволяло обходить даже базовые механизмы многофакторной аутентификации.
Сервис ориентировался не только на кражу логинов и паролей, но и на последующий доступ к данным в OneDrive, SharePoint и почтовым ящикам жертв. Эти ресурсы использовались для:
Финансового мошенничества. Компрометация деловой переписки (Business Email Compromise, BEC) позволяла подменять реквизиты платежей и инициировать переводы на счета злоумышленников.
Вымогательства и шантажа. Доступ к конфиденциальным документам создавал основы для угроз утечки данных или блокировки аккаунтов.
Дальнейшего проникновения в инфраструктуру. Захваченные учетные записи часто служили точкой входа для развертывания дополнительного вредоносного ПО и lateral movement внутри сети организации.
Фишинг-киты распространялись по подписке через приватный Telegram-канал с более чем 840 участниками (на 25 августа 2025 года). Стоимость составляла от 355 долларов за месяц до 999 долларов за три месяца, оплата принималась в криптовалютах USDT и BTC. По оценкам Microsoft, группировка заработала не менее 100 000 долларов в криптовалюте, то есть реализовала как минимум 100–200 подписок, хотя фактические доходы могли быть выше.
Роль Microsoft и Cloudflare в ликвидации инфраструктуры Raccoon0365
В начале сентября 2025 года подразделение Microsoft Digital Crimes Unit (DCU) совместно с командами Cloudforce One и Trust and Safety компании Cloudflare провели операцию по изъятию инфраструктуры, связанной с Raccoon0365. В результате было отключено 338 сайтов и учетных записей Cloudflare Workers, использовавшихся для размещения фишинговых страниц и обхода систем детектирования.
Cloudflare оказалась вовлечена в расследование, поскольку ее услуги применялись злоумышленниками для анализоустойчивости (anti-analysis) и уклонения от обнаружения: проксирование трафика, защита от автоматизированных проверок и быстрое развертывание новых доменов затрудняли блокировку фишинговых ресурсов.
Ключевым фактором деанонимизации операторов Raccoon0365 стала ошибка в их собственной операционной безопасности: по данным Microsoft, они случайно раскрыли секретный криптовалютный кошелек. Связав транзакции с учетными записями и инфраструктурой, исследователи DCU смогли идентифицировать участников схемы и передать материалы в международные правоохранительные органы.
Что означает кейс Raccoon0365 для кибербезопасности компаний
История Raccoon0365 наглядно демонстрирует, как модель Phishing-as-a-Service снижает порог входа в киберпреступность. Десятки и сотни клиентов по всему миру получают «фишинг под ключ»: шаблоны писем, хостинг, панели управления и автоматизацию обхода защитных механизмов. По данным отраслевых отчетов (например, Verizon DBIR), фишинг регулярно фигурирует среди ключевых векторов первоначального взлома корпоративных сетей, а сервисы PhaaS лишь усиливают этот тренд.
Для организаций, использующих Microsoft 365, этот кейс подчеркивает необходимость многослойной защиты:
Усиленная аутентификация. Включение многофакторной аутентификации (MFA), использование FIDO2-ключей и ограничение применения одноразовых кодов снижает ценность украденных паролей и cookie.
Защита почты и ссылок. Современные системы почтовой безопасности (Secure Email Gateway, EOP/Defender for Office 365) с проверкой URL и вложений должны быть настроены и регулярно актуализироваться.
Обучение сотрудников. Регулярные симуляции фишинговых атак и обучающие программы помогают пользователям распознавать поддельные письма, в том числе содержащие QR-коды и ссылки на «доверенные» бренды.
Мониторинг активности аккаунтов. Настройка оповещений о входах из аномальных геолокаций, массовых загрузках данных и подозрительных OAuth-приложениях позволяет вовремя заметить компрометацию.
Случай с Raccoon0365 показывает, что даже хорошо замаскированные PhaaS-платформы уязвимы перед координированными действиями вендоров и правоохранительных органов. Однако пока фишинг остается одним из самых эффективных инструментов кибермошенников, организациям и частным пользователям необходимо проактивно укреплять свою цифровую гигиену: пересматривать политику доступа, инвестировать в защиту облачных сервисов и регулярно повышать осведомленность сотрудников о современных методах фишинга.
