Sió-Informatika Rendszerház

HÍREK

Microsoft & Cloudflare Take Down RaccoonO365 – A Notorious Global Phishing Network

RaccoonO365 phishing hálózat

Az akció során 338 domain lefoglalására került sor, amelyeket pénzügyi haszonszerzés céljából használtak a támadók.

Egy jelentős közös művelet keretében a Microsoft Digital Crimes Unit (DCU) és a Cloudflare sikeresen felszámolt egy világméretű adathalász infrastruktúrát, amely a RaccoonO365 nevű Phishing-as-a-Service (PhaaS) eszközhöz kapcsolódott.

A művelet áttekintése

A takedown 2025 szeptemberének elején indult, amikor a Microsoft és a Cloudflare csapatai összehangoltan léptek fel a RaccoonO365 ellen. A bűnözők több mint 5 000 Microsoft 365 fiókot kompromittáltak 94 országban, bizonyítva a PhaaS modellek pusztító hatékonyságát.

A lefoglalt domainek hamis bejelentkezési portálokat, adathalász landing oldalakat és adatkezelő szervereket szolgáltak ki.

Hogyan zajlott a takedown?

A jogi alapot a New York-i Déli Kerületi Bíróság határozata adta, amely lehetővé tette a rosszindulatú domainek lefoglalását.

  • Első fázis (szeptember 2.) – A Cloudflare azonosította és blokkolta a RaccoonO365-höz köthető domaineket.
  • Második fázis (szeptember 3–4.) – A Cloudflare „phish warning” oldalakkal helyettesítette a rosszindulatú webhelyeket, és megszüntette a támadók Worker szkriptjeit.
  • Harmadik fázis (szeptember 8.) – A teljes infrastruktúra lebontásra került, megszakítva a támadók adatgyűjtését és bevételi forrását.

Microsoft képviselője így nyilatkozott:

„Ez az eset jól mutatja, hogy a kiberbűnözőknek nem kell kifinomultnak lenniük ahhoz, hogy óriási károkat okozzanak. Az előre elkészített PhaaS platformok milliókat sodornak veszélybe.”

A RaccoonO365 módszerei

A RaccoonO365 adathalász készletei olyan technikákat tartalmaztak, amelyek különösen veszélyessé tették a támadásokat:

  • CAPTCHA oldalak a hitelesség látszatának erősítésére.
  • Anti-bot és anti-analízis technikák, amelyek megnehezítették a kutatók dolgát.
  • Token- és cookie-lopás, amely lehetővé tette a MFA (többlépcsős azonosítás) megkerülését.

2025 áprilisában a csoport több mint 2 300 amerikai szervezetet, köztük 20 egészségügyi intézményt támadott meg adózási témájú e-mailekkel.

Az ellopott adatok felhasználása

A megszerzett információkat többféle módon hasznosították:

  • Pénzügyi csalás: hamis számlák, jogosulatlan átutalások.
  • Zsarolás: adatok nyilvánosságra hozatalával való fenyegetés.
  • Kezdeti hozzáférés értékesítése: ransomware-csoportok számára a dark weben.

Ezzel a RaccoonO365 nem csupán jelszólopásra, hanem komplex kibertámadások előszobájaként szolgált.

Phishing-as-a-Service: előfizetéses bűnözői modell

A RaccoonO365 a PhaaS piac egyik meghatározó szereplője volt, amely előfizetéses modellben kínált szolgáltatásokat:

  • 30 napos előfizetés: 355 USD
  • 90 napos előfizetés: 999 USD

Fizetés kizárólag kriptovalutában (USDT, BTC), névtelenséget biztosítva a vásárlóknak.

A Microsoft szerint a csoport legalább 100 000 dollárt keresett, bár a valós összeg ennek többszöröse lehet.

A fenyegető szereplők azonosítása

A vizsgálat során a Microsoft azonosította Joshua Ogundipe nigériai fejlesztőt, aki a RaccoonO365 fő kódfelelőse lehetett.

  • Programozói háttérrel rendelkezik, valószínűleg ő írta a legtöbb kódot.
  • Orosz nyelvű elemek és Telegram-bot utalnak keleti kapcsolatokra.
  • Egy kriptotárca-cím kiszivárgása lehetővé tette a pénzmozgások nyomon követését.

A Microsoft a nemzetközi bűnüldöző szervekhez fordult, így a jövőben letartóztatások is várhatók.

Reakciók és iparági hatások

A Cloudflare kiemelte, hogy az akció célja nem csak a domainek lefoglalása volt, hanem a kiberbűnözés költségeinek növelése.

A támadók ugyanakkor jelezték, hogy új infrastruktúrán kívánják folytatni tevékenységüket, ami jól mutatja a „macska-egér játék” természetét a kiberbiztonság világában.

Következő lépések a védekezésben

A Microsoft és a Cloudflare hangsúlyozta, hogy a védekezés kulcsa:

  • MFA (többlépcsős azonosítás) alkalmazása.
  • Fenyegetési intelligencia megosztása a szervezetek között.
  • Köz- és magánszféra együttműködése a gyors fellépés érdekében.

A múlt kampányai során több kártékony programot is terjesztettek, például: Latrodectus, GuLoader, BruteRatel C4.

Miért számít mindez?

A PhaaS modellek rohamos terjedése miatt még kevésbé képzett támadók is képesek komplex adathalász kampányokat indítani. Az RaccoonO365 elleni művelet ugyan komoly csapást mért a kiberbűnözésre, de az ilyen szolgáltatások hamar újjászülethetnek más néven és infrastruktúrán.

A küzdelem tehát nem egyszeri, hanem folyamatos feladat a biztonsági iparág számára.

👉 Olvasd el a Cloudflare teljes jelentését ITT
👉 Olvasd el a Microsoft hivatalos beszámolóját ITT

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!