マイクロソフトは、Microsoft365の認証情報の窃盗に特化した人気のサブスクリプション型フィッシングキット「RaccoonO365」を妨害したと発表しました。
同社のデジタル犯罪対策部門(DCU)は、RaccoonO365に関連する338のウェブサイトを押収することに成功しました。マイクロソフトはこのグループをStorm-2246として追跡しています。
この作戦により、フィッシングキットの技術的インフラが大幅に縮小され、犯罪者による被害者へのアクセスが遮断されたと、マイクロソフトは9月16日に詳細を公開しました。
この措置は、DCUがニューヨーク南部地区裁判所から裁判所命令を取得した後に実施されました。
調査の一環として、DCUはRaccoonO365ネットワークのリーダーであるナイジェリア在住のJoshua Ogundipe氏も特定しました。
マイクロソフトによると、Ogundipe氏とその関係者は、Telegram上でサービスを宣伝・販売しており、現在850人の顧客がいるとされています。
検出を回避するため、運営者らは架空の名前や複数の都市・国に所在するとされる住所を使ってインターネットドメインを登録していました。
Ogundipe氏は、RaccoonO365のインフラで使用されているコードの大部分を作成したと考えられています。マイクロソフトは、運営者が誤って秘密の仮想通貨ウォレットを公開したことが、DCUによる特定や運営実態の解明に役立ったと明かしました。
Ogundipe氏とその関係者は、フィッシングサービスの利用者から少なくとも10万ドル相当の仮想通貨を受け取ったと推定されています。
「この金額はおよそ100~200件のサブスクリプションに相当すると見積もっていますが、実際に販売された総数はこれを上回る可能性が高いです」とマイクロソフトは記しています。
「重要なのは、これらのサブスクリプションは1回限りの利用ではなく、1つのRaccoonO365サブスクリプションで犯罪者が1日に数千通のフィッシングメールを送信できるという点です。年間ではこのプラットフォームを通じて数億通もの悪質なメールが送信される可能性があります」と同社は付け加えました。
Ogundipe氏に対する刑事告発は国際的な法執行機関に送付されました。
5,000件のMicrosoft認証情報窃盗に関与したフィッシングキット
2024年7月に開始されたRaccoonO365のサービスは、94か国で少なくとも5,000件のMicrosoft認証情報の窃盗に利用されました。
あらゆる業界を標的としており、米国の2,300以上の組織を狙った大規模な税金関連のフィッシングキャンペーンにも使われました。
RaccoonO365キットは、米国の少なくとも20の医療機関も標的にしています。
これが、マイクロソフトがHealth-ISAC(医療分野のサイバーセキュリティと脅威インテリジェンスに特化したグローバル非営利団体)と提携して訴訟を起こした主な理由の一つです。
これらのフィッシングメールを通じて盗まれた認証情報は、マルウェアやランサムウェアの前兆となることが多いとマイクロソフトは指摘しています。
RaccoonO365フィッシングキットは、攻撃者がマイクロソフトのブランドを使って偽のメールや添付ファイル、ウェブサイトを正規のもののように見せかけることを可能にします。
これらのキャンペーンは、被害者に認証情報を入力させるよう誘導します。
このサービスには、多要素認証(MFA)対策を回避する技術も含まれています。
これにより、技術的なスキルが限られているユーザーでも、高度なフィッシング攻撃を仕掛けることが可能になります。
顧客は、1日に9,000件のメールアドレスを標的にできるとマイクロソフトは述べています。
最近では、RaccoonO365の運営者が、AIを活用した新サービス「RaccoonO365 AI-MailCheck」を宣伝し、攻撃の規模拡大と高度化を図っています。
「RaccoonO365のようなサービスの急速な開発、マーケティング、そして容易な利用は、詐欺や脅威が指数関数的に増加する可能性が高い、サイバー犯罪の新たな段階に突入していることを示しています」とマイクロソフトは記しています。
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-disrupts-phishing-kit/