Цифровое подразделение по борьбе с преступностью Microsoft (Digital Crimes Unit, DCU) сообщило, что в сотрудничестве с Cloudflare провело операцию по изъятию 338 доменов, используемых хакерской группой RaccoonO365 стоящей за схемой фишинг как услуга (Phishing-as-a-Service, PhaaS), с помощью которой с июля 2024 года были украдены более 5 000 учетных данных Microsoft 365 в 94 странах.
Первый этап операции Cloudflare по закрытию доменов начался 2 сентября 2025 года, а последующие действия проходили 3 и 4 сентября. В рамках мероприятий были:
Подробности и последствия
Microsoft отслеживает данную группу как Storm-2246. RaccoonO365 позволяет другим киберпреступникам запускать масштабные фишинговые кампании и атаки по краже учетных данных с минимальными техническими навыками.
По данным компании Morado, атаки с использованием RaccoonO365 были активны с сентября 2024 года. Фишинговые письма имитируют известные бренды, такие как Microsoft, DocuSign, SharePoint, Adobe и Maersk, и ведут на поддельные страницы, где жертвы вводят свои логины и пароли от Microsoft 365.
Особую тревогу у специалистов вызывает использование легитимных инструментов — таких как Cloudflare Turnstile в качестве CAPTCHA, а также Cloudflare Workers для защиты фишинговых страниц от автоматического анализа, чтобы доступ к ним получали только выбранные цели атаки.
В апреле Microsoft уже предупреждала о фишинговых кампаниях, связанных с налоговой тематикой, для распространения вредоносных программ вроде Latrodectus, AHKBot, GuLoader и BruteRatel C4 (BRc4). Эти атаки также осуществлялись с помощью RaccoonO365 и были связаны с поставщиком доступов известного как Storm-0249.
Фишинговые кампании были нацелены на более чем 2 300 организаций в США, включая не менее 20 медицинских учреждений.
Кто стоит за атакой?
Как установила Microsoft, главным организатором является Джошуа Огундипе (Joshua Ogundipe), предположительно проживающий в Нигерии. Он и его сообщники рекламировали инструмент в Telegram-канале с 850 участниками, получив не менее $100 000 в криптовалюте. Группа, по оценке Microsoft, продала от 100 до 200 подписок.
Компания установила личность организатора благодаря утечке данных о криптовалютном кошельке из-за ошибки в операционной безопасности. Сейчас Огундипе и еще четверо его сообщников находятся в розыске, а информация о нем уже передана международным правоохранительным органам.
- Источник: https://thehackernews.com/2025/09/raccoono365-phishing-network-shut-down.html
Первый этап операции Cloudflare по закрытию доменов начался 2 сентября 2025 года, а последующие действия проходили 3 и 4 сентября. В рамках мероприятий были:
- заблокированы все выявленные домены,
- добавлены предупреждающие страницы о фишинге,
- отключены связанные скрипты Workers,
- приостановлены аккаунты пользователей.
Подробности и последствия
Microsoft отслеживает данную группу как Storm-2246. RaccoonO365 позволяет другим киберпреступникам запускать масштабные фишинговые кампании и атаки по краже учетных данных с минимальными техническими навыками.
По данным компании Morado, атаки с использованием RaccoonO365 были активны с сентября 2024 года. Фишинговые письма имитируют известные бренды, такие как Microsoft, DocuSign, SharePoint, Adobe и Maersk, и ведут на поддельные страницы, где жертвы вводят свои логины и пароли от Microsoft 365.
Особую тревогу у специалистов вызывает использование легитимных инструментов — таких как Cloudflare Turnstile в качестве CAPTCHA, а также Cloudflare Workers для защиты фишинговых страниц от автоматического анализа, чтобы доступ к ним получали только выбранные цели атаки.
В апреле Microsoft уже предупреждала о фишинговых кампаниях, связанных с налоговой тематикой, для распространения вредоносных программ вроде Latrodectus, AHKBot, GuLoader и BruteRatel C4 (BRc4). Эти атаки также осуществлялись с помощью RaccoonO365 и были связаны с поставщиком доступов известного как Storm-0249.
Фишинговые кампании были нацелены на более чем 2 300 организаций в США, включая не менее 20 медицинских учреждений.
Кто стоит за атакой?
Как установила Microsoft, главным организатором является Джошуа Огундипе (Joshua Ogundipe), предположительно проживающий в Нигерии. Он и его сообщники рекламировали инструмент в Telegram-канале с 850 участниками, получив не менее $100 000 в криптовалюте. Группа, по оценке Microsoft, продала от 100 до 200 подписок.
Компания установила личность организатора благодаря утечке данных о криптовалютном кошельке из-за ошибки в операционной безопасности. Сейчас Огундипе и еще четверо его сообщников находятся в розыске, а информация о нем уже передана международным правоохранительным органам.
- Источник: https://thehackernews.com/2025/09/raccoono365-phishing-network-shut-down.html