微软与Cloudflare联手关停338个域名，RaccoonO365钓鱼网络被捣毁

微软数字犯罪部门表示，其与Cloudflare合作，协调查封了338个被RaccoonO365使用的域名。RaccoonO365是一个以经济利益为驱动的威胁组织，该组织开发的“钓鱼即服务”（Phaas）工具包自2024年7月以来，已从94个国家窃取了超过5000组微软365的登录凭证。

“借助纽约南区法院批准的一项法庭命令，DCU查封了338个与这项广受欢迎的服务相关的网站，破坏了该运营的技术基础设施，并切断了犯罪分子接触受害者的途径，”DCU助理总法律顾问史蒂文·马萨达表示。

“这一案例表明，网络犯罪分子无需具备高深的技术就能造成广泛危害——像RaccoonO365这样的简单工具让几乎任何人都能实施网络犯罪，使数百万用户面临风险。”

Cloudflare此次下架行动的初始阶段于2025年9月2日开始，后续行动分别在9月3日和9月4日展开。这包括封禁所有已识别的域名，在这些域名前设置“钓鱼警告”中间页，终止相关的Workers脚本，以及暂停用户账户。相关工作于9月8日完成。

这款被微软（Windows制造商）命名为Storm-2246的RaccoonO365工具，以订阅模式向其他网络犯罪分子推广，使他们无需多少技术专长就能大规模发起钓鱼和凭证窃取攻击。30天套餐售价355美元，90天套餐定价999美元。

运营商还声称，该工具托管在防攻击的虚拟专用服务器上，没有隐藏的后门（比如说，与BulletProofLink不同），并且它“只为资深玩家打造——拒绝低成本的免费使用者”。

据莫拉多称，自2024年9月以来，使用RaccoonO365的攻击活动就一直很活跃。这些攻击通常在欺诈性电子邮件中模仿微软、DocuSign、SharePoint、Adobe和马士基等可信品牌，诱骗用户点击外观相似的页面，而这些页面旨在获取受害者的Microsoft 365用户名和密码。钓鱼电子邮件往往是恶意软件和勒索软件攻击的前兆。

从防御者的角度来看，最令人担忧的一点是，他们使用Cloudflare Turnstile等合法工具作为验证码，并利用Cloudflare Workers脚本实施机器人和自动化检测来保护其钓鱼页面，从而确保只有预定的攻击目标才能访问并与之交互。

今年4月初，这家总部位于雷德蒙德的公司警告了多个利用税务相关主题的钓鱼活动，这些活动旨在部署诸如Latrodectus、AHKBot、GuLoader和BruteRatel C4（BRc4）等恶意软件。该公司还补充称，这些钓鱼页面是通过RaccoonO365传播的，其中一个此类活动被归因于名为Storm-0249的初始访问中介。

这些钓鱼攻击活动已针对美国2300多家机构，其中包括至少20家美国医疗保健机构。

微软表示：“借助RaccoonO365的服务，客户每天最多可输入9000个目标电子邮件地址，并运用复杂技术绕过多因素认证保护，以窃取用户凭据并持续访问受害者的系统。”

“最近，该团伙开始宣传一项新的人工智能驱动服务——RaccoonO365 AI-MailCheck，其旨在扩大运营规模，并提高攻击的复杂性和有效性。”

RaccoonO365的幕后策划者被认定为约书亚·奥贡迪佩（Joshua Ogundipe），他是一名居住在尼日利亚的个人。他与同伙在一个拥有850名成员的Telegram频道上宣传该工具，通过加密货币获得的付款不少于10万美元。据信，这个电子犯罪团伙已售出约100至200份订阅，但微软警告称，这一数字可能被低估了。

这家科技巨头表示，由于一次操作安全失误意外暴露了一个秘密加密货币钱包，他们才得以确定归属。奥贡迪佩和其他四名同谋目前仍在逃，但微软指出，已向国际执法部门提交了针对奥贡迪佩的刑事举报。

Cloudflare在对PhaaS服务的分析中表示，查封数百个域名和Worker账户的目的是提高运营成本，并向其他可能滥用其基础设施从事恶意活动的不良行为者发出警告。

自此次中断事件发生后，威胁行为者宣布他们正在“废弃所有旧版RaccoonO365链接”，并敦促已购买1个月订阅服务的客户转用新套餐。该团伙还表示，升级后将通过提供“额外一周的订阅时长”来补偿受影响的用户。

Cloudflare表示：“这一回应标志着一种战略转变，从被动的单领域移除转变为主动的大规模打击，旨在瓦解该行为者在我们平台上的运营基础设施。”