Microsoft разом із Cloudflare спільно демонтували інфраструктуру «фішингу як послуги» RaccoonO365, що використовувалася для викрадення облікових даних Microsoft 365. На початку вересня 2025 року команда Microsoft Digital Crimes Unit (DCU) та фахівці Cloudflare вилучили 338 фішингових сайтів і акаунтів Cloudflare Workers, пов’язаних із цією платформою.
Як працювала платформа RaccoonO365: тактика, набір інструментів і маскування
RaccoonO365 пропонувала операторам готові фішингові комплекти, що включали розсилки, вкладення з посиланнями або QR‑кодами, а також реалістичні копії сторінок входу Microsoft 365. Для обходу автоматичного аналізу застосовувалися екрани CAPTCHA та антибот‑фільтри, які відсіювали сканери й дослідницькі середовища, приховуючи шкідливий контент від систем виявлення.
Масштаб і наслідки: кого вражали кампанії
За даними Microsoft, актори, відстежувані як Storm‑2246, з липня 2024 року викрали щонайменше 5000 облікових даних користувачів з 94 країн. У квітні 2025 року податкова фішинг‑кампанія зачепила понад 2300 організацій у США, а подібні комплекти застосовувалися проти 20+ медзакладів.
Отримані паролі, файли cookie та дані з OneDrive, SharePoint і поштових скриньок зловмисники використовували для фінансових шахрайств, вимагання та подальшого закріплення в мережах жертви, зокрема через ескалацію привілеїв і атаки на ланцюг постачання.
Інфраструктура та монетизація PhaaS: економіка злочинної «SaaS‑моделі»
Фішингові комплекти поширювалися за підпискою у приватному Telegram‑каналі з 840+ учасниками станом на 25 серпня 2025 року. Тарифи становили $355/місяць або $999/три місяці з оплатою в USDT чи BTC. За оцінками Microsoft, оператори заробили щонайменше $100 000 у криптовалюті (еквівалентно ~100–200 підпискам), що демонструє сталу привабливість PhaaS і низький поріг входу для фішингових операцій.
Cloudflare як ланка маскування: як обходили аналіз і як це зупинили
Зловмисники активно використовували можливості Cloudflare Workers для проксіювання та приховування інфраструктури. Перед перенаправленням на фішинговий сайт скрипти перевіряли ознаки «сканер/дослідник/пісочниця». Якщо ризики виявлялися, з’єднання переривалися або поверталася помилка — фактично фішинговий контент не демонструвався. Спільна операція Microsoft і Cloudflare дала змогу розірвати цей ланцюг ухилення та вилучити сотні задіяних ресурсів.
Атрибуція та провал ОРБ: хто стояв за RaccoonO365
DCU пов’язує керівництво проєктом із Джошуа Огундіпе (Joshua Ogundipe) з Нігерії, якого асоціюють із розробкою основної частини коду. Критичною помилкою операційної безпеки стало випадкове розкриття секретного криптогаманця, що дозволило співвіднести артефакти, відтворити механіку атак і передати матеріали міжнародним правоохоронним органам.
Як захистити Microsoft 365: практичний чеклист для ІБ‑команд
Ідентифікація та доступ
Увімкніть стійку до фішингу MFA (FIDO2/WebAuthn), вимкніть застарілі протоколи автентифікації, застосовуйте Conditional Access і Continuous Access Evaluation. Обмежуйте та перевіряйте OAuth‑консенти, регулярно відкликайте підозрілі сесії й токени, відстежуйте «неможливі переміщення» та аномалії доступу.
Пошта та контент
Підсиліть захист листування: DMARC, DKIM, SPF, фільтрація вкладень і URL, засоби анти‑QR‑фішингу. Налаштуйте виявлення правил автоперенаправлення пошти та несанкціонованих змін MFA.
Людський фактор і операційна готовність
Проводьте регулярні тренінги з розпізнавання фішингу, моделюйте атаки для підвищення обізнаності, оновлюйте плани реагування й забезпечуйте міжвідомчу координацію для оперативного блокування скомпрометованих обліковок.
Координоване вилучення RaccoonO365 підтверджує ефективність партнерства індустрії у протидії PhaaS, але комерційна вигода подібних сервісів гарантує появу нових клонів. Організаціям варто діяти на випередження: впроваджувати MFA, стійку до фішингу, мінімізувати привілеї, контролювати доступ застосунків і безперервно навчати користувачів. Це знизить імовірність компрометації Microsoft 365 і прискорить реагування у разі інцидентів.