微软扰乱了RacoonO365网络钓鱼即服务操作

微软和Cloudflare中断了网络钓鱼即服务操作，出售用于窃取Microsoft 365帐户凭据的RaccoonO365套件。

微软数字犯罪部门（DCU）助理总法律顾问Steven Masada宣布：“根据纽约南区的法院命令，[我们]查获了338个与大众服务相关的网站，扰乱了行动的技术基础设施，并切断了罪犯与受害者的联系。”

谁是RaccoonO365的背后？

RaccoonO365（又名Storm-2246）出售预包装的基于订阅的网络钓鱼套件，允许低技能攻击者发送冒充DocuSign、SharePoint、Adobe和Maersk等受信任品牌的电子邮件，并设置虚假的微软品牌登录页面来捕获身份验证凭据和cookie。

Cloudflare指出：“当受害者输入他们的凭据时，该工具包充当中间的对手，将身份验证流程代理到微软的服务器，并允许攻击者不仅捕获密码，还允许捕获生成的会话cookie，有效地绕过MFA。”

由RacoonO365客户设置的网络钓鱼页面（来源：Cloudflare）

微软从该集团秘密购买了网络钓鱼工具包和指令，这使他们能够跟踪该集团的加密货币交易。

威胁行为者的运营安全漏洞——即他们无意中披露了秘密加密货币钱包——帮助微软了解了该集团的运营，并最终为RaccoonO365集团的领导人Joshua Ogundipe起了名字。

这位尼日利亚男子和他的同事们使用Telegram通过私人渠道营销该服务/工具。

“根据微软的分析，Ogundipe有计算机编程的背景，据信他编写了大部分代码。”

另外两名被告提供行政和技术支持，并帮助销售该服务，而另外两名是网络犯罪分子，他们购买了Raccoom0365网络钓鱼工具包，注册了一个新的网络钓鱼域名，并将其纳入了该集团的技术基础设施。

8月，微软对Ogundipe和四名身份不明的同伙提起诉讼，他们仍然逍�在。

下一步是什么？

Cloudflare表示，RacoonO365平台在分层定价模式下运行，其产品结构旨在吸引一系列犯罪分子。

“计划以不同的期限出售，例如30天计划355美元，90天计划999美元。该服务专门接受加密货币，包括USDT（TRC20、BEP20、Polygon）和比特币（BTC），”该公司解释道。

到目前为止，该组织通过他们的犯罪企业“赚了”了至少10万美元，并继续发展其产品。最新的广告是RaccoonO365 AI-MailCheck，旨在扩展操作并提高攻击效果。

Masada补充说：“Ogundipe的刑事转介已被送交国际执法部门，”并指出，提起诉讼只是个开始。

他指出：“我们一直期望演员尝试重建他们的运营。这意味着DCU将继续在本案中采取额外的法律措施，以拆除任何新的或重新出现的基础设施。”

原文链接地址：https://www.helpnetsecurity.com/2025/09/17/microsoft-disrupts-raccoono365-phishing/