マイクロソフトとCloudflareは火曜日、サイバー犯罪者が数千人のユーザーの認証情報を盗むために利用していたRaccoonO365フィッシングサービスの妨害に協力したと発表しました。
RaccoonO365は1年以上前から存在しており、フィッシング・アズ・ア・サービス(PhaaS)モデルのもと、サイバー犯罪者に対して$355(30日プラン)から$999(90日プラン)で貸し出されていました。マイクロソフトは、この運営により犯罪組織が少なくとも10万ドル相当の暗号通貨を得たと推定しています。
このフィッシングサービスは850人以上のメンバーがいるTelegramチャンネルで宣伝されており、マイクロソフトはRaccoonO365に少なくとも100~200人の加入者がいたと考えています。
RaccoonO365は、ユーザーが偽のメール、リンクやQRコード付きの添付ファイル、被害者を騙してMicrosoft 365のユーザー名とパスワードを入力させるためのフィッシングサイトを作成できるようにします。偽のメールやウェブサイトは非常に本物らしく見え、作成には高度なスキルは必要ありません。
マイクロソフトによると、2024年7月以降、RaccoonO365を通じて94か国のユーザーから少なくとも5,000件の認証情報が盗まれましたが、攻撃者がすべての侵害された認証情報を使ってネットワークにアクセスしたり詐欺を行ったりできたとは限らないと指摘しています。
マイクロソフトとCloudflareは、RaccoonO365に対して複数の面で対策を講じました。マイクロソフトは、医療サイバーセキュリティ非営利団体Health-ISACと協力し、RaccoonO365の運営者に対して訴訟を起こしました。
Health-ISACとの提携は、RaccoonO365が米国の少なくとも20の医療機関を標的にしていたことに由来します。マイクロソフトは、RaccoonO365のフィッシングメールがしばしばマルウェアやランサムウェアにつながり、病院に深刻な影響を与える可能性があるため、「公共の安全を危険にさらす」と述べています。
訴訟に加え、マイクロソフトのデジタル犯罪対策部門(DCU)は、フィッシングサービスに関連する330以上のドメインを押収し、サイバー犯罪者の技術インフラを妨害し、被害者へのアクセスを遮断しました。
広告。スクロールして続きを読む。
Cloudflareは、同社のサービスが解析回避や検知回避などに悪用されたため、RaccoonO365に対する作戦に関与しました。
「実際のフィッシングサーバーにリクエストが送られる前に、Cloudflare Workersスクリプトがリクエストを検査し、それがセキュリティ研究者、自動スキャナー、またはサンドボックスからのものかどうかを判断していました。何らかの警告サインがあれば、接続は切断されるか、クライアントにエラーメッセージが返され、フィッシングキットが効果的に隠されていました」とウェブセキュリティ企業は説明しています。
Cloudflareの対応は9月初旬の数日間にわたって行われ、サイバー犯罪者はこれに対抗するためにいくつかの変更を試みました。
同社はRaccoonO365で使用されていたドメインを禁止し、フィッシング警告を表示、ハッカーが使用していたWorkersスクリプトを削除し、作戦に関与したユーザーアカウントを停止しました。
RaccoonO365のインフラを妨害したことに加え、マイクロソフトはこの作戦のリーダーとされる人物を特定したと発表しました。
容疑者はナイジェリア出身のプログラマー、ジョシュア・オグンディペです。マイクロソフトは、彼がコードの大部分を書いたと考えていますが、同社のブログ記事によれば、開発、カスタマーサポート、販売を支援した複数の協力者がいたとされています。
マイクロソフトはオグンディペについて国際的な法執行機関に通知しました。
翻訳元: https://www.securityweek.com/raccoono365-phishing-service-disrupted-leader-identified/