Microsoft и Cloudflare совместно пресекли деятельность PhaaS-площадки RaccoonO365, использовавшейся для кражи учетных данных Microsoft 365. В начале сентября 2025 года команды Microsoft Digital Crimes Unit (DCU) и специалисты Cloudflare изъяли 338 фишинговых сайтов и аккаунтов Cloudflare Workers, связанных с этой инфраструктурой.
Как работал RaccoonO365: механика атак и маскировка
RaccoonO365 предоставлял «фишинг как услугу», позволяя операторам создавать рассылки, вложения со ссылками или QR-кодами, а также настраивать фишинговые страницы для кражи паролей Microsoft 365. Наборы включали CAPTCHA-экраны и антибот-фильтры, чтобы отсекать автоматические сканеры и исследования безопасности, а также правдоподобно имитировали легитимные сервисы Microsoft.
Масштабы кампаний и последствия для организаций
По данным Microsoft, за период с июля 2024 года злоумышленники, отслеживаемые как Storm-2246, похитили не менее 5000 учетных данных пользователей из 94 стран. В апреле 2025 года кампания на налоговую тематику затронула более 2300 организаций в США, а аналогичные наборы применялись против 20+ медучреждений. Полученные пароли, файлы cookie и данные из OneDrive, SharePoint и почтовых ящиков использовались для финансового мошенничества, вымогательства и дальнейшего проникновения в корпоративные сети (например, эскалации прав и атаки по цепочке поставок).
Инфраструктура и монетизация PhaaS-площадки
Распространение фишинговых китов велось по подписке через приватный Telegram-канал с 840+ участников на 25 августа 2025 года. Стоимость составляла $355 в месяц или $999 за три месяца, оплата принималась в USDT и BTC. По оценкам Microsoft, операторы заработали не менее $100 000 в криптовалюте (эквивалентно 100–200 подпискам), что подчеркивает устойчивую экономику криминальных сервисов «по модели SaaS», снижающих порог входа для фишинговых кампаний.
Роль Cloudflare и методы уклонения от анализа
Злоумышленники активно использовали возможности Cloudflare, в том числе Workers, для скрытия инфраструктуры. Перед тем как перенаправить жертву на фишинговый сайт, скрипты проводили проверку признаков «исследователь/сканер/песочница». При обнаружении рисков соединение прерывалось или возвращалась ошибка, фактически прятвая фишинговый контент. Совместная операция Microsoft и Cloudflare позволила демонтировать эту цепочку уклонения от детектирования, изъяв сотни задействованных ресурсов.
Атрибуция и ошибка операционной безопасности
По информации DCU, лидером проекта является Джошуа Огундипе (Joshua Ogundipe) из Нигерии. Microsoft связывает его с разработкой основной части кода. Критическая ошибка операционной безопасности — случайное раскрытие секретного криптокошелька — помогла исследователям сопоставить артефакты, понять механизмы работы и передать материалы в международные правоохранительные органы.
Что делать организациям: практические рекомендации по защите Microsoft 365
Для снижения риска компрометации учетных записей Microsoft 365 рекомендуется: включить многофакторную аутентификацию с защитой от фишинга (FIDO2/WebAuthn), отключить устаревшие протоколы аутентификации, применить политики Conditional Access и Continuous Access Evaluation, ограничить и контролировать OAuth-консенты, регулярно отзывать подозрительные сессии и токены, включить мониторинг «невозможных перемещений» и аномалий доступа. Усильте почтовую защиту (DMARC, DKIM, SPF, фильтры вложений/URL, анти-QR-фишинг), введите обучение сотрудников, а также настройте правила на обнаружение пересылки почты и несанкционированных изменений MFA.
Ликвидация RaccoonO365 демонстрирует эффективность координации индустрии в борьбе с фишингом как услугой. Однако экономическая привлекательность PhaaS гарантирует появление новых клонов. Организациям важно действовать проактивно: внедрять стойкие к фишингу факторы, минимизировать привилегии, контролировать доступ приложений и непрерывно повышать осведомленность пользователей. Это позволит снизить вероятность компрометации и ускорить реагирование при инцидентах.
