出典:Roman Samborskyi(Alamy Stock Photo経由)
マイクロソフトとCloudflareは、悪名高いフィッシングサービス「RaccoonO365」を停止させたと今週発表しました。
マイクロソフトはブログ投稿で、同社のデジタル犯罪対策部門がニューヨーク南部地区裁判所からの命令を利用し、このサービスに関連する338のウェブサイトを差し押さえたと述べました。ブログ投稿の中で、マイクロソフトはRaccoonO365を「サイバー犯罪者がMicrosoft 365のユーザー名とパスワードを盗むために使用する、最も急速に成長しているツール」と表現しています。
同社は、このサービスの背後にいるグループをStorm-2246として追跡しており、サブスクリプション型のフィッシングキットを提供しています。フィッシング・アズ・ア・サービス(PhaaS)キットは、サイバー犯罪に参入したいスキルの低い個人にとって、ますます人気の手段となっています。
「これらのキットは、技術的な知識がほとんどない人でも、公式のMicrosoftの通信を模倣してMicrosoftの認証情報を盗むことを可能にします」と、ブログ投稿の著者でありマイクロソフトのデジタル犯罪対策部門のアシスタント・ゼネラル・カウンセルであるスティーブン・マサダ氏は書いています。「ユーザーを欺くために、RaccoonO365のキットはMicrosoftのブランドを利用し、偽のメールや添付ファイル、ウェブサイトを正規のものに見せかけ、受信者が開封、クリック、情報入力をするよう誘導します。」
RaccoonO365、数千件の侵害
マサダ氏は、2024年7月以降、RaccoonO365キットが94か国で少なくとも5,000件のMicrosoft認証情報を盗むために使用されたと説明しました。彼は、Storm-2246の影響範囲について、「詐欺や脅威が指数関数的に増加する可能性が高い、サイバー犯罪の憂慮すべき新たな段階の指標」と述べました。
RaccoonO365は、米国内の2,300以上の組織を対象とした税金をテーマにしたフィッシングキャンペーンで使用され、マイクロソフトによれば、同キットは少なくとも20の米国医療機関を標的にするためにも使われました。「これは公共の安全を危険にさらします。なぜなら、RaccoonO365のフィッシングメールはしばしばマルウェアやランサムウェアの前兆であり、病院に深刻な影響を及ぼす」とマサダ氏は述べています。
サブスクリプションにより、ユーザーは最大9,000件のメールアドレスを自動化されたフィッシング攻撃のターゲットとして入力でき、スパムやメールセキュリティフィルターの回避、インフラ全体のサポートなどのサービスも宣伝されていました。興味深いことに、このサービスはMicrosoftの認証情報を盗むためにAzureなどのMicrosoftサービスを利用していると宣伝していました。
スクリーンショットには、年間サブスクリプション料金が600ドルで、30日および60日ライセンスの割引オプションも表示されていました。管理者は「RaccoonO365 AI-MailCheck」と題した新しいAI搭載サービスも宣伝し始めていました。
マイクロソフトと協力して攻撃者インフラの差し押さえ・停止に取り組んだCloudflareのブログ投稿によると、RaccoonO365はDocuSign、SharePoint、Adobe、Maerskになりすますなど、複数のフィッシング手法を用いていました。認証情報窃取の機能は、PDFなどの添付リンクやドキュメントに隠されていました。
「RaccoonO365のフィッシングメールは、ターゲットとなる企業内の信頼されたブランドや組織になりすまし、職場でよく見られるテーマを利用して信頼を悪用し、緊急性を演出していました。ファイル名も財務や人事書類、ポリシー合意書、契約書、請求書など日常的な通信を模倣するように設計されていました」とブログ投稿には書かれています。「場合によっては、メール内のリンクや添付ファイルに受信者の名前を組み込むことで信頼性を高めていました。このソーシャルエンジニアリング手法によって、ユーザーが本物だと信じてクリックする可能性が高まります。」
RaccoonO365の摘発と首謀者の特定
マイクロソフトのデジタル犯罪対策部門は、RaccoonO365の首謀者としてナイジェリア在住のジョシュア・オグンディペ氏を特定しました。マサダ氏によれば、彼とその仲間は少なくとも10万ドル相当の暗号通貨を受け取っており、これは約100~200件のサブスクリプションに相当しますが、マイクロソフトは実際の販売数はさらに多いとみています。
ブログ投稿では、組織的で企業のような構造が描かれていました。
「オグンディペ氏とその仲間は、サイバー犯罪組織内でそれぞれ専門的な役割を持ち、サービスの開発・販売を行うとともに、他のサイバー犯罪者がMicrosoftユーザーから情報を盗むためのカスタマーサポートも提供していました」とブログ投稿には書かれています。「犯罪事業を隠し、発覚を避けるため、複数の都市や国に所在するかのような架空の名前や住所でインターネットドメインを登録していました。」
また、組織運営に関してマサダ氏は「脅威アクターによる運用上のセキュリティミスで、秘密の暗号通貨ウォレットが誤って公開されたことが、DCUによる特定と活動把握に役立った」と指摘しています。
マイクロソフトはオグンディペ氏について国際法執行機関に刑事告発を行いました。
Cloudflareはブログ投稿で、マイクロソフトや米国の法執行機関と協力してRaccoonO365の活動を妨害したと述べています。同社はサインアップパターンを利用して攻撃者のインフラを特定し、今月初めに3日間にわたる「ラグプル(抜き打ち)」作戦を実行しました。Cloudflareは「特定されたすべてのドメインを禁止し、インタースティシャルの『フィッシング警告』ページを表示、関連するWorkersスクリプトを停止し、ユーザーアカウントを凍結して再登録を防止した」としています。
Dark Readingは追加コメントのためマイクロソフトに問い合わせました。