RaccoonO365のサブスクリプション型フィッシングキットの開発者とされる人物のうち1人が、今週ナイジェリア警察に逮捕された。
ナイジェリア警察の国家サイバー犯罪センターは、Microsoft、FBI、米国シークレットサービスからの情報提供を受け、ラゴス州とエド州で2回の捜索を実施し、3人を逮捕したと発表した。
逮捕された3人のうち2人はサイバー犯罪組織の活動とは関係がなかったが、警察はRaccoonO365のフィッシング基盤の主要開発者とされるオキティピ・サミュエルを拘束した。
RaccoonO365は、ユーザーの認証情報を収集し、企業・金融機関・教育機関のメールプラットフォームへ不正にアクセスすることを目的として、偽のMicrosoftログインポータルを作成するために使用されてきた。
「捜査により、[サミュエル]はTelegramチャンネルを運営し、暗号資産と引き換えにフィッシングリンクを販売し、盗用または不正に入手したメール認証情報を用いてCloudflare上に不正なログインポータルをホストしていたことが判明した」と、ナイジェリア警察の広報担当者は述べた。
広報担当者によれば、捜索ではこの計画に関連している可能性の高いノートPC、モバイル端末、その他のデジタル機器も押収された。
9月、MicrosoftはRaccoonO365に関連する338のウェブサイトを差し押さえるための裁判所命令を取得した。
RaccoonO365はサブスクリプション型のフィッシングキットとして運用され、サイバー犯罪者がMicrosoftのブランドを用いて偽のメール、添付ファイル、ウェブサイトを作成し、被害者を誘導して悪意あるリンクや文書を開かせたり、クリックさせたり、ダウンロードさせたりできるようにしていた。
このサービスは、月額約365ドルのサブスクリプション料金を支払ったサイバー犯罪者によって利用され、1日あたり9,000件のメールアドレスを標的にし、多要素認証(MFA)保護を回避する手法も提供して、ユーザー認証情報を盗み、被害者のシステムへの継続的なアクセスを得ていた。
多くの場合、メールにはリンクまたはQRコード付きの添付ファイルがあり、CAPTCHAのあるページへ誘導した。CAPTCHAを入力すると、被害者は偽のMicrosoft O365ログインページに移動させられ、そこで認証情報が盗まれた。
ナイジェリア警察は、これらのフィッシングメールにより、サイバー犯罪者がビジネスメール詐欺(BEC)、データ侵害を実行し、金銭的損失を引き起こしたと述べた。
Cloudflareも9月に、同グループに関連する数百のドメインとアカウントを停止した。Cloudflareの担当者が確認した複数のフィッシングキャンペーンでは、Adobe、Maersk、DocuSignなどのブランドがなりすましに利用されていた。
Microsoftのデジタル犯罪対策ユニット(DCU)のアシスタント・ジェネラル・カウンセルであるスティーブン・マサダは当時、RaccoonO365のキットが94カ国で少なくとも5,000件のMicrosoft認証情報を盗むために使用されたと述べた。
約1年にわたり、複数企業の研究者が、RaccoonO365の蔓延と、サイバー犯罪者がビジネスメール詐欺攻撃やその他の詐欺を仕掛けるためにその利用を増やしていることについて警告してきた。
Microsoftは、ナイジェリア国籍のジョシュア・オグンディペがRaccoonO365の中心人物だったとしている。Microsoftはオグンディペについて国際的な法執行機関に刑事紹介を行ったが、所在は不明だ。
彼は他者と協力して、Telegram上でこのツールを宣伝・販売していたとされる。グループのTelegramチャンネルには約850人のメンバーがいた。
Microsoftによれば、オグンディペはRaccoonO365のコードの大半を書いた一方で、サービスの開発・販売や、他のサイバー犯罪者へのカスタマーサポート提供といった役割を協力者に割り振っていた。Microsoftによると、彼らの活動は少なくとも10万ドルを稼いだという。
ナイジェリア警察とMicrosoftは、サミュエルがこの作戦で具体的にどのような役割を担っていたのかについてのコメント要請に応じなかった。
ナイジェリアは2025年にサイバー犯罪への姿勢をより厳格化しており、オンライン詐欺を行うために若いナイジェリア人を訓練・勧誘していたとされるサイバー犯罪シンジケートに関与したとして、中国人9人に懲役1年を言い渡した。
翻訳元: https://therecord.media/nigeria-raccoon-developer-tip
