Арешт групи кіберзловмисників у Нігерії, яких пов’язують із фішинговою платформою Raccoon0365, став показовим кейсом того, як моделі Phishing-as-a-Service (PhaaS) дозволяють масштабувати атаки на корпоративні акаунти Microsoft 365 у глобальному масштабі. Спільна операція правоохоронців і технологічних компаній висвітлила як технічні можливості сервісу, так і його слабкі місця.
Арешт підозрюваних у Нігерії та розкриття мережі Raccoon0365
Поліція Нігерії, підрозділ NPF-NCCC (Національний центр з протидії кіберзлочинності), провела скоординовані обшуки в штатах Лагос і Едо. Операція стала можливою завдяки технічним даним, які зібрав підрозділ Microsoft Digital Crimes Unit (DCU) і передав ФБР, а згодом – нігерійським правоохоронцям.
Під час обшуків були вилучені ноутбуки, смартфони та інше цифрове обладнання. За даними слідства, саме цифрові артефакти – логи, налаштування, сліди підключень до інфраструктури Raccoon0365 – дозволили прямо пов’язати ці пристрої з фішинговою активністю та управлінням PhaaS-сервісом.
Серед затриманих ключовою фігурою називають Okitipi Samuel, відомого онлайн під псевдонімами Raccoon0365 та Moses Felix. Слідство вважає його основним розробником платформи і адміністратором закритого Telegram-каналу, через який клієнтам розповсюджувалися фішингові комплекти. На момент ліквідації сервісу в цьому каналі перебувало понад 800 учасників.
Ще двом затриманим наразі не інкримінують безпосередню розробку або адміністрування Raccoon0365, їхню роль у схемі уточнюють. Примітно, що в офіційній заяві поліції Нігерії не згадується Joshua Ogundipe, якого раніше дослідники Microsoft ідентифікували як можливого лідера угруповання.
Як працював фішинговий сервіс Raccoon0365 проти Microsoft 365
Raccoon0365 був комерційним Phishing-as-a-Service сервісом, який надавав зловмисникам «фішинг під ключ». Клієнти отримували готову інфраструктуру, шаблони листів і панель управління кампаніями, не маючи глибоких технічних знань. Подібні платформи істотно знижують поріг входу в кіберзлочинність і дозволяють швидко масштабувати атаки.
Користувачі Raccoon0365 могли генерувати фішингові листи з посиланнями та QR-кодами, що вели на підроблені сторінки входу Microsoft 365. Ці сайти візуально копіювали легітимні форми авторизації. Після введення логіна й пароля облікові дані, а часто й cookie-файли сесій, миттєво надсилалися операторам сервісу. Завдяки цьому зловмисники могли обходити базові варіанти багатофакторної автентифікації, відтворюючи вже активну сесію користувача.
Ключові сценарії зловживання вкраденими акаунтами
Фінансове шахрайство (BEC). Компрометація ділової пошти дозволяла підміняти реквізити рахунків у ланцюжках листування з партнерами й ініціювати перекази на контрольовані кіберзлочинцями гаманці. Такий формат атак Business Email Compromise стабільно входить до ТОП-причин фінансових втрат компаній за даними галузевих звітів.
Вимагання та шантаж. Доступ до OneDrive, SharePoint та поштових скриньок давав зловмисникам конфіденційні документи й внутрішню переписку. Це створювало основу для погроз витоку даних або блокування доступу до важливих акаунтів.
Подальше проникнення в мережу. Захоплені акаунти Microsoft 365 часто ставали відправною точкою для встановлення додаткового шкідливого ПЗ, зловживання правами доступу та lateral movement усередині корпоративної інфраструктури.
Монетизація PhaaS-моделі Raccoon0365
Фішингові комплекти поширювалися за передплатою через приватний Telegram-канал, де станом на серпень 2025 року налічувалося понад 840 користувачів. Вартість передплати становила від 355 доларів США на місяць до 999 доларів за три місяці з оплатою в криптовалюті (USDT, BTC). За оцінками Microsoft, оператори Raccoon0365 заробили щонайменше 100 000 доларів у криптовалюті, що відповідає приблизно 100–200 проданим передплатам, хоча реальний дохід міг бути вищим.
Ліквідація інфраструктури: внесок Microsoft і Cloudflare
На початку вересня 2025 року Microsoft DCU спільно з командами Cloudflare Cloudforce One та Trust and Safety провели технічну операцію з демонтажу інфраструктури, пов’язаної з Raccoon0365. У результаті було відключено 338 сайтів і акаунтів Cloudflare Workers, які використовувалися для хостингу фішингових сторінок і обходу систем виявлення.
Сервіси Cloudflare зловмисники застосовували як інструмент антианалізу: проксування трафіку, маскування реальних серверів, захист від автоматизованого сканування та швидке розгортання нових доменів суттєво ускладнювали блокування фішингових ресурсів традиційними методами.
Ключовим чинником деанонімізації стало порушення правил операційної безпеки самими операторами Raccoon0365. За даними Microsoft, вони випадково розкрили секретний криптовалютний гаманець, пов’язаний із сервісом. Аналіз транзакцій і зв’язків гаманця з акаунтами, доменами та інфраструктурою дозволив дослідникам DCU ідентифікувати причетних осіб і передати доказову базу міжнародним правоохоронним органам.
Що цей кейс означає для кібербезпеки компаній
Історія Raccoon0365 демонструє, як моделі Phishing-as-a-Service перетворюють фішинг на масштабований «сервіс», доступний десяткам і сотням клієнтів по всьому світу. Згідно з профільними звітами (зокрема, Verizon DBIR), фішинг стабільно входить до числа основних векторів початкового компрометування корпоративних мереж, а платформи PhaaS посилюють цю тенденцію.
Посилення автентифікації акаунтів Microsoft 365
Компаніям варто максимально ускладнити зловмисникам використання вкрадених облікових даних. Мультифакторна автентифікація (MFA), впровадження FIDO2-ключів та мінімізація використання одноразових кодів із SMS або застосунків знижують цінність викрадених паролів і cookie, оскільки атакам стає значно важче відтворити повноцінну сесію користувача.
Захист пошти, посилань і користувачів
Необхідно коректно налаштовувати та регулярно оновлювати засоби захисту електронної пошти – від Secure Email Gateway до Microsoft Defender for Office 365 із перевіркою URL, вкладень і захистом від фішингових доменів. Важливим доповненням є навчання співробітників: симуляції фішингових кампаній, роз’яснення ризиків QR-фішингу та використання авторитетних брендів у шахрайських листах.
Моніторинг активності та реагування
Своєчасне виявлення компрометації акаунтів Microsoft 365 можливе лише за наявності налаштованого моніторингу. Варто впроваджувати оповіщення про аномальні входи (нетипові геолокації, незвичні пристрої), масові завантаження або видалення даних, підозрілі OAuth-додатки та ескалацію привілеїв. Інтеграція цих сигналів у SOC або SIEM-рішення дає змогу оперативно блокувати зламані акаунти й мінімізувати збитки.
Кейс Raccoon0365 показує, що навіть добре замасковані PhaaS-платформи вразливі перед скоординованими діями вендорів і правоохоронців. Водночас фішинг ще довго залишатиметься одним із найефективніших інструментів кіберзлочинців. Щоб знизити ризики, компаніям варто вже зараз переглянути політику доступу до хмарних сервісів, інвестувати в багаторівневий захист Microsoft 365 і системно підвищувати обізнаність співробітників щодо сучасних фішингових технік.
