マイクロソフトのデジタル犯罪対策部門(DCU)は、RaccoonO365によって使用されていた338のドメインを押収したと火曜日に発表しました。RaccoonO365は、2024年7月以降に5,000件以上のマイクロソフト認証情報を盗むために使用されたフィッシングキットを開発・販売していた、金銭目的の脅威グループです。
マイクロソフトがStorm-2246として追跡しているこの脅威グループは、94か国にわたる組織から認証情報を盗むことをサイバー犯罪者に可能にし、「サイバー犯罪者がMicrosoft 365のユーザー名とパスワードを盗むために使う最も急速に成長しているツール」だと、マイクロソフトDCUのアシスタント・ゼネラルカウンセルであるスティーブン・マサダ氏がブログ投稿で述べました。
RaccoonO365のサービスは、今年初めに税金をテーマにしたフィッシングキャンペーンで、2,300以上の米国組織を無差別に標的にするために使用されました。また、マイクロソフトによると、そのキットは、詐欺メールや添付ファイル、ウェブサイトにマイクロソフトのブランドを使用し、少なくとも20の米国医療機関に対しても使われていました。
「RaccoonO365のようなサービスの急速な開発、マーケティング、そしてアクセスのしやすさは、詐欺や脅威が指数関数的に増加する可能性が高い、サイバー犯罪の新たな憂慮すべき段階に突入していることを示しています」とマサダ氏は述べています。
マイクロソフトは、ニューヨーク南部地区連邦地方裁判所からの命令に基づき、Cloudflareと協力してRaccoonO365のインフラを押収・停止しました。また、Chainalysisと連携し、脅威グループの暗号通貨取引を追跡することで、悪意あるオンライン活動を実際の身元に結びつけることができました。
マイクロソフトは、ナイジェリアのジョシュア・オグンディペ氏がこの犯罪組織を運営し、Telegram上の850人以上のコミュニティメンバーにフィッシングキットを販売していたと非難しています。オグンディペ氏とその関係者は、少なくとも10万ドル相当の暗号通貨による支払いを受けており、最大200件のサブスクリプションがあったと推定されています。
「調査中、DCUは自らの身元を明かさずに脅威アクターと直接やり取りし、フィッシングキットを入手しました」と、マイクロソフトDCUの主任サイバー犯罪調査官であるモーリス・メイソン氏がChainalysisとのQ&Aで述べました。
別の購入の際、容疑者のサイバー犯罪者は支払い用の暗号通貨ウォレットアドレスを誤って共有し、これにより調査官は資金の流れを、以前オグンディペ氏と関連付けられていたナイジェリア拠点の暗号通貨取引所のウォレットまで追跡できたと、メイソン氏は付け加えました。
マイクロソフトは、オグンディペ氏がコンピュータープログラミングの経歴を持ち、
サブスクリプションベースのフィッシングサービスのコードの大部分を作成したと非難しています。このサービスは、サイバー犯罪者が1日に最大9,000通のフィッシングメールを送信することを可能にします。調査官によれば、RaccoonO365は数億通もの悪意あるメールの送信を助長した可能性があります。
マイクロソフトは、オグンディペ氏に関する刑事告発を国際法執行機関に送付したほか、継続する法的課題に対する不満にも言及しました。
「今日の国際法の継ぎ接ぎ状態は依然として大きな障害であり、サイバー犯罪者はこれらの隙間を悪用しています」とマサダ氏は述べました。「各国政府はサイバー犯罪法を調整し、国境を越えた訴追を迅速化し、犯罪者が罰せられずに活動できる抜け穴を塞ぐために協力しなければなりません。」
RaccoonO365のキットは、被害者に悪意ある添付ファイル、リンク、またはQRコードを含むメールを送り、ユーザーを偽のMicrosoft O365ログインページにリダイレクトして認証情報を収集していたと、Cloudflareの研究者はブログ投稿で述べています。被害者が認証情報を入力すると、キットは攻撃者がパスワードとそのセッションCookieを取得できるようにし、多要素認証を回避していました。
Cloudflareによれば、このコードベースには、解析回避や回避機能、ユーザーエージェントのフィルタリング、セキュリティベンダーの回避、ネットワークレベルでのブロッキング、動的なトラフィックルーティングの機能が含まれていました。
マイクロソフトによると、フィッシングメールはしばしばマルウェアやランサムウェアの前兆となっていましたが、盗まれた認証情報のすべてがネットワーク侵害や詐欺につながったわけではありません。同社は、サイバー犯罪者がインフラの停止後に再び活動を再構築しようとすることを常に想定しており、新たな、または再出現したインフラを解体するために追加の措置を講じると約束しています。
翻訳元: https://cyberscoop.com/microsoft-seizes-phishing-sites-raccoono365/