ナイジェリア当局は、犯罪者が偽のMicrosoftログインページを大量生産し、被害者のユーザー名とパスワードを収集できるようにしていたフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「RaccoonO365」の開発者の一人とみられる人物を逮捕した。Microsoft、FBI、米国シークレットサービスから提供された情報に基づき、警察は最終的に容疑者3人を拘束した。
法執行機関によれば、逮捕されたうちRaccoonO365の運営に直接関与しているのは1人のみで、Okitipe Samuelとされる。彼は同プラットフォームのフィッシング基盤の主要な設計者だと説明されている。警察は、SamuelがTelegramチャンネルを運営し、暗号資産でフィッシングリンクを販売するとともに、盗難または詐欺で入手したメール認証情報を用いてCloudflare上に偽のログインポータルをホストしていたと主張している。作戦中に実施された捜索により、計画に関連するとみられるノートPC、携帯電話、その他のデジタル機器が押収された。
RaccoonO365は「フィッシングのサブスクリプション」サービスとして販売されていた。月額およそ365ドルで、サイバー犯罪者は、偽メール、添付ファイル、ウェブサイトを含むブランド化されたMicrosoftキャンペーンを作成し、被害者を不正なMicrosoft Office 365ログインページへ誘導するためのツールにアクセスできた。このサービスは企業、金融、教育機関を標的にするために利用され、作成者は多要素認証を回避する方法まで約束していたため、攻撃者は単にパスワードを盗むだけでなく、侵害されたシステムへの長期的なアクセスを維持できた。
典型的な攻撃の流れは次のとおりだった。被害者は、リンクまたはQRコードを含む添付ファイル付きのメールを受け取る。クリックするとCAPTCHAが表示され、その後、認証情報が取得される偽のMicrosoft O365ログインページへリダイレクトされる。ナイジェリア警察は、こうしたキャンペーンがビジネスメール詐欺(BEC)、データ侵害、そして多額の金銭的損失につながったとしている。
早ければ9月の時点で、MicrosoftはRaccoonO365に関連する338のウェブサイトの差し押さえを認める裁判所命令を取得していた。ほぼ同時期に、Cloudflareは同グループが使用していた数百のドメインとアカウントを無効化したと発表した。Cloudflareが観測したキャンペーンでは、攻撃者はMicrosoftだけでなく、Adobe、Maersk、DocuSignといったブランドにもなりすましていた。Microsoftのデジタル犯罪対策部門(Digital Crimes Unit)によれば、RaccoonO365のキットは94か国で少なくとも5,000件のMicrosoftアカウント認証情報を盗むために使用された。
Microsoftは以前、別のナイジェリア国籍者であるJoshua OgundepeをRaccoonO365の主導的な中心人物として特定し、彼がコードの大部分を書き、開発や販売から、同業のサイバー犯罪者向けのカスタマーサポートに至るまで、さまざまな機能を共犯者に割り振っていたと主張している。
同社はOgundepeの訴追を求め、国際的な法執行機関に証拠を提出しているが、現在の所在は不明のままだ。Microsoftはまた、この計画の関係者が少なくとも10万ドルを稼ぎ、サービスの宣伝に使われたTelegramチャンネルには約850人のメンバーが集まっていたとも主張している。
翻訳元: https://meterpreter.org/the-raccoons-end-nigerian-police-arrest-mastermind-behind-raccoono365-phaas/
