Cloudflare beteiligt sich an einer globalen Operation zur Störung von RaccoonO365

Inhalt

Überblick

Kurzfassung

Bedrohungsprofil: RaccoonO365

Kampagnenanalyse & Bedrohungsdetails

Angriffsvektor

Infrastruktur und Tooling des Bedrohungsakteurs

Störungsbemühungen

Empfehlungen

IOCs

Überblick

In Zusammenarbeit mit Microsoft haben die Cloudforce One- und die Trust and Safety-Teams von Cloudflare erfolgreich das Phishing-as-a-Service (PhaaS)-Verbrecherunternehmen namens RaccoonO365 gestört. Dieser Bericht beschreibt die koordinierten technischen und rechtlichen Maßnahmen, die gegen einen ausgeklügelten Phishing-Vorgang ergriffen wurden, der auf Microsoft 365-Zugangsdaten abzielte. Die RaccoonO365-Gruppe missbrauchte Cloudflare-Services und andere Infrastrukturanbieter, um die Erkennung ihrer Phishing-Kits zu verhindern.

Die Reaktion von Cloudflare stellt eine strategische Neuausrichtung von reaktiven Löschungen einzelner Domains hin zu einer proaktiven, groß angelegten Störung dar, die darauf abzielt, die operative Infrastruktur des Akteurs auf unserer Plattform zu zerschlagen. Durch koordinierte Maßnahmen Anfang September 2025 beabsichtigen wir, die Betriebskosten von RaccoonO365 erheblich zu steigern und eine klare Botschaft an andere böswillige Akteure zu senden: Die kostenlose Tarifstufe ist für kriminelle Unternehmen zu teuer.

Kurzfassung

• Cloudflare ist in Zusammenarbeit mit Microsoft gegen RaccoonO365 vorgegangen, ein kriminelles Unternehmen, das einen ausgeklügelten Phishing-as-a-Service (PhaaS)-Dienst anbietet.

• Der primäre Angriffsvektor der Kampagne waren Phishing-Kits, die darauf ausgelegt sind, Microsoft 365-Anmeldedaten zu stehlen. Die Kits nutzten eine einfache CAPTCHA-Seite und Bot-Schutz-Techniken, um Analysen zu umgehen und den Opfern legitim zu erscheinen.

• Das ultimative Ziel der Akteure war es, Abonnenten mit gestohlenen Anmeldeinformationen, Cookies und Daten von Opferkonten (einschließlich OneDrive, SharePoint und E-Mail) zu versorgen, die dann für Finanzbetrug oder Erpressung eingesetzt oder als erster Zugang für größere Angriffe dienen könnten.

• Anfang September 2025 führte Cloudflare in einem strategischen Bestreben, diesen Phishing-Missbrauch in unseren Diensten zu verhindern, eine koordinierte Deaktivierung von Hunderten von Domains und Worker-Konten durch, die mit dem Akteur in Verbindung standen, und zerstörte damit effektiv deren Infrastruktur in unserem Netzwerk. Diese Maßnahme wurde in Koordination mit den umfassenderen Bemühungen von Microsoft durch eine Ende August eingereichte Zivilklage ergriffen.

• Dieser Bericht liefert technische Details zu den TTPs des Akteurs, unserer Abwehrstrategie und Kompromittierungsindikatoren (Indicators of Compromise – IOCs), um anderen zu helfen, sich gegen diese und ähnliche Bedrohungen zu verteidigen.

Was ist RaccoonO365?

RaccoonO365 ist ein finanziell motiviertes kriminelles Unternehmen, das ein PhaaS-Modell betreibt, das darauf ausgelegt ist, Microsoft-365-Nutzer breit anzugreifen und Abonnenten das Starten eigener Kampagnen zum Abgreifen von Zugangsdaten zu ermöglichen. Nach Angaben von Microsoft wurden die Kits von RaccoonO365 seit Juli 2024 zum Diebstahl von mindestens 5.000 Microsoft-Anmeldeinformationen aus 94 Ländern verwendet. Die an die Opfer gesendeten E-Mail-Nachrichten enthalten in der Regel einen Anhang mit einem Link oder einem QR-Code. Der böswillige Link führt zu einer Seite mit einem einfachen CAPTCHA. Sobald das CAPTCHA gelöst wurde, wird der Benutzer zu einer gefälschten Microsoft O365-Anmeldeseite weitergeleitet, die zur Erbeutung von Anmeldedaten entwickelt wurde. Wenn diese Aktivität erfolgreich ist, ist sie oft ein Vorbote für eine Infektion mit Schadsoftware oder Ransomware.

Die Gruppe verkauft Abonnements für ihre „RaccoonO365 Suite“ über einen privaten Telegram-Kanal, der am 25. August 2025 845 Mitglieder hatte. Die Plattform arbeitet mit einem gestaffelten Preismodell, das so gestaltet ist, dass es eine Vielzahl von Kriminellen anspricht, von Kurzzeit-Testern bis hin zu jenen, die kontinuierliche Kampagnen betreiben. Die Tarife werden mit verschiedenen Laufzeiten verkauft, z. B. mit einem 30-Tage-Tarif für 355 $ und einem 90-Tage-Tarif für 999 $. Der Dienst akzeptiert ausschließlich Kryptowährungen, darunter USDT (TRC20, BEP20, Polygon) und Bitcoin (BTC).

RaccoonO365 vermarktet kriminelle Dienstleistungen mit einer professionell aussehenden Preisliste und akzeptiert Zahlungen in Kryptowährungen

RaccoonO365 vermarktet seinen Dienst mit dem Anspruch, eine vollständig verwaltete Operation zu sein, die auf einem „kugelsicheren VPS“ mit „keinen Backdoors“ und „keinem Tracking“ gehostet wird, um seiner kriminellen Kundschaft die Sicherheit und Anonymität des Dienstes zu garantieren. Sie veranschaulichen das PhaaS-Modell, indem sie eine umfassende Suite von Tools und Diensten anbieten, die die Hürde für Cyberkriminelle senken, die ausgeklügelte Phishing-Kampagnen durchführen wollen, einschließlich der Möglichkeit, die Multi-Faktor-Authentifizierung (MFA) zu umgehen.

Öffentlich zugängliches Portal des kriminellen Unternehmens RaccoonO365, das einen „Zwei-Faktor-Authentifizierung-Linkdienst“ zur Umgehung der Sicherheitsmaßnahmen von Microsoft bewirbt

Microsoft identifizierte den Anführer der Gruppe als Joshua Ogundipe, der in Nigeria ansässig ist, während Beweise wie die Verwendung von Russisch im Namen eines Telegram-Bots darauf hindeuten, dass die Gruppe auch mit russischsprachigen Cyberkriminellen zusammengearbeitet hat.

Kampagnenanalyse & Bedrohungsdetails

Angriffskette

Die Angriffskette von RaccoonO365 ist auf Täuschung ausgelegt und umgeht Sicherheitsmaßnahmen, ohne beim Nutzer Verdacht zu erregen.

1. Initialer Köder

RaccoonO365 verwendete mehrere unterschiedliche Phishing-Techniken. Wir haben mehrere Phishing-Kampagnen beobachtet, die vertrauenswürdige Marken wie DocuSign, SharePoint, Adobe und Maersk imitierten. Unabhängig davon haben wir mehrere PDF-basierte Kampagnen identifiziert, die Anhänge und bildbasierte Links als Übertragungsvektor verwendeten. Diese Anhänge enthielten entweder einen bösartigen QR-Code oder ein anklickbares Bild mit einem eingebetteten Link, um die Opfer auf die Phishing-Seiten umzuleiten.

RaccoonO365-Phishing-E-Mails wurden so gestaltet, dass sie vertrauenswürdige Marken oder Organisationen innerhalb des Zielunternehmens nachahmen, indem sie vertraute Arbeitsplatzthemen nutzen, um Vertrauen zu missbrauchen und Dringlichkeit zu erzeugen. Dateinamen wurden so gestaltet, dass sie routinemäßige Kommunikation nachahmen, wie z. B. Finanz- oder Personaldokumente, Richtlinienvereinbarungen, Verträge und Rechnungen. In einigen Fällen gingen die E-Mails noch weiter, indem sie den Namen des Empfängers in Links oder Anhänge einfügten, um die Glaubwürdigkeit zu erhöhen. Diese Social-Engineering-Taktik erhöht die Wahrscheinlichkeit, dass Nutzer klicken, da sie die Nachricht für legitim halten.

RaccoonO365 DocuSign-E-Mail mit einem „Review Document“-Button, der den Benutzer auf die Phishing-Seite leitet.

RaccoonO365 Adobe Acrobat-E-Mail mit einem „View Now“-Button, der den Nutzer auf die Phishing-Seite leitet.

RaccoonO365-Phishing-E-Mail, die sich als Maersk ausgibt. Die PDF-Datei enthält ein Dokument mit einem bildbasierten Link, der den Benutzer dann auf die Phishing-Seite weiterleitet.

PDF-basierte RaccoonO365-Kampagne, bei der das PDF ein einzelnes, verschwommenes Bild eines Dokuments enthält. Ein Klick auf eine beliebige Stelle des Bildes leitet den Benutzer zur Phishing-Seite weiter.

RaccoonO365-Kampagne mit einem PDF-Anhang, der einen QR-Code enthält. Das Scannen des Codes führt den Benutzer auf eine Phishing-Seite.

2. Umgehung der menschlichen Verifizierung und Erkennung

Wenn das ins Visier genommene Opfer auf den bösartigen Link in der E-Mail, dem PDF oder dem QR-Code zugreift, wird es auf eine Landingpage umgeleitet, die durch ein einfaches „I'm not a robot“-CAPTCHA zur menschlichen Verifizierung geschützt ist.

Einfache CAPTCHA-Seite, die von einem Phishing-Kit verwendet wird, um automatisierte Sicherheitstools zu blockieren und den Zugriff auf menschliche Ziele einzuschränken

In dieser Phase verwendet das Skript von RaccoonO365 auch mehrere Techniken, um Sicherheitsforscher und automatisierte Systeme zu blockieren, darunter:

• Bot-Erkennung: Sie führt mehrere Prüfungen durch, um automatisierten Datenverkehr zu identifizieren und herauszufiltern.

• Automatisierungsprüfungen: Sie sucht speziell nach dem Vorhandensein von Tools wie WebDriver und analysiert den User-Agent des Browsers.

• Browser-Fingerprinting: Es verwendet fortschrittliche Methoden wie Canvas-Fingerprinting, um Analyseumgebungen zu identifizieren und zu blockieren.

• Anti-Analyse: Es deaktiviert aktiv Tastenkombinationen für Entwicklertools und schaltet die Konsole des Browsers ab, um eine Code-Inspektion zu verhindern.

3. Phishing-Seite

Nachdem der Benutzer das CAPTCHA und andere Kriterien bestanden hat, wird ihm die betrügerische Microsoft 365-Anmeldeseite angezeigt. Die RaccoonO365-Plattform bietet Werkzeuge zur Erstellung überzeugender Anmeldeseiten, wie die unten gezeigte, die Microsoft 365-Dienste nachahmen und die Wahrscheinlichkeit eines Diebstahls von Zugangsdaten erhöhen.

Microsoft 365-Seite zum Stehlen von Anmeldedaten, die auf einer bösartigen Domain gehostet wird

Schritte in diesem Abschnitt der Angriffskette umfassen:

• Diebstahl von Anmeldedaten und Sitzungen: Wenn das Opfer seine Anmeldedaten eingibt, fungiert das Kit als „Man-in-the-Middle“-Angreifer. Es übernimmt die Weiterleitung des Authentifizierungsflusses zu den Servern von Microsoft und ermöglicht es dem Angreifer, nicht nur das Passwort, sondern auch das daraus resultierende Sitzungs-Cookie zu erbeuten, wodurch die MFA effektiv umgangen wird.

• Ausschleusung: Sobald die kompromittierten Daten – einschließlich Anmeldedaten, Cookies, O365-Dateien und Maschinenspezifikationen – gesammelt wurden, werden sie über eine mit einem Skript versehene URL direkt an eine festgelegte E-Mail-Adresse gesendet. Ihre Taktiken entwickelten sich jedoch im Juli weiter und umfassten auch die Exfiltration zu Telegram.

Fähigkeiten des Toolkits des Bedrohungsakteurs

RaccoonO365 baute seinen Betrieb auf legitimer Infrastruktur auf, um Erkennungen zu entgehen. Indem sie kostenlose Konten nutzten, setzten sie Cloudflare Workers strategisch als Vermittlungsschicht ein, um ihre Backend-Phishing-Server vor direkter öffentlicher Exposition zu schützen.

Ein Blick in die Codebasis von RaccoonO365

Der Schadcode von RaccoonO365 wurde entwickelt, um eine Vielzahl von Funktionen auszuführen, darunter:

Anti-Analyse & Umgehung: Bevor eine Anfrage an den tatsächlichen Phishing-Server weitergeleitet wurde, überprüfte ein Cloudflare Workers-Skript die Anfrage, um festzustellen, ob sie von einem Sicherheitsforscher, einem automatisierten Scanner oder einer Sandbox stammte. Sollten irgendwelche Warnsignale ausgelöst werden, würde die Verbindung abgebrochen oder der Client würde eine Fehlermeldung erhalten, wodurch das Phishing-Kit effektiv verborgen wird.

Zu ihren Umgehungstaktiken gehörten:

• Filterung von User-Agents: Blockieren einer Liste von über 18 bekannten automatisierten Analysetools, Crawlern und Headless-Browsern (z. B. NetcraftSurveyAgent, python-requests, Headless).

• Umgehung von Sicherheitsanbietern: Aktive Blockierung von Verbindungen, die von der Infrastruktur von mindestens 17 großen Sicherheitsdiensten ausgehen, darunter E-Mail-Gateways wie safelinks.protection.outlook.com und urldefense.proofpoint.com.

• Blockierung auf Netzwerkebene: Verweigerung des Zugriffs auf Anfragen von bekannten Rechenzentren, bestimmten Internet Service Providern, Tor-Exit-Knoten und Bogon-IP-Adressen (nicht zugewiesene IP-Bereiche).

• Header- und Referer-Prüfungen: Überprüfung von HTTP-Headern auf Anzeichen einer Analyse, wie z. B. den Origin-Header, der von Microsofts SmartScreen verwendet wird.

Dynamisches Traffic-Routing: Bei Anfragen, die die Sicherheitsprüfungen bestehen, diente das bösartige Skript des Akteurs einem zweiten Zweck – es fungierte als Traffic-Steuerung. Das Skript rief dynamisch die entsprechenden Phishing-Inhalte von den verborgenen Backend-Servern des Akteurs (z. B. sharedsyncdriveforwork[.]com und sponsoredmetasocialtasks[.]vip) ab und bot die folgende Funktionalität:

• Reverse-Weiterleitung: Das Skript verbarg die echte IP-Adresse der Phishing-Server, sodass sie scheinbar aus dem Netzwerk von Cloudflare stammten. Für einen Sicherheitsanalysten sieht die anfängliche Verbindung so aus, als würde sie bei Cloudflare enden und verschleiert so die wahre Infrastruktur des Angreifers.

• Trigger-Pfad-Logik: Der Akteur hat eindeutige Variablen als „Trigger-Pfade“ in den Code eingebettet, wodurch er den Datenverkehr nahtlos an verschiedene Phishing-Kampagnen umleiten oder die Backend-Logik durch die Änderung einer einzigen Variable anpassen kann, ohne die Kernfunktionalität des Codes ändern zu müssen.

• Zentrale Verwaltung: Diese Architektur ermöglichte es dem Akteur, groß angelegte Phishing-Operationen mit minimalem Aufwand zu koordinieren. Durch die Änderung eines kleinen Teils des Codes konnten sie schnell neue Umgehungstechniken verbreiten, die Routing-Logik aktualisieren oder ganze Kampagnen verschieben, wodurch die Notwendigkeit entfällt, Dutzende einzelner Phishing-Kits neu bereitzustellen oder zu konfigurieren.

Weiterentwicklung und Skalierung

RaccoonO365 hat nicht einfach einen einzelnen Worker hochgefahren und dann aufgegeben; sie warteten, aktualisierten und skalierten ihre Implementierung kontinuierlich, um laufende Phishing-Operationen zu unterstützen:

Oktober 2024: Kampagnenstart

• Die früheste Aktivität, die entdeckt wurde, war die Durchführung der ersten JavaScript-Phishing-Kampagnen

• Vom ersten Tag an ging es in erster Linie um den Diebstahl von Zugangsdaten, wobei der Schwerpunkt eindeutig auf Microsoft 365-Geschäftskonten lag. Diese frühen Kits bildeten den grundlegenden Code, der im Laufe der Zeit kontinuierlich verfeinert werden würde.

Dezember 2024: Implementierung der Infrastruktur

• Zwei Monate nach dem Auftauchen der ersten Phishing-Kits nahm der Akteur eine bedeutende strategische Aufrüstung vor, indem er seinen ersten Cloudflare Worker-Cluster einsetzte.

• Dies markiert den Übergang von einem einfacheren Phishing-Setup zu einer ausgefeilten zweischichtigen Architektur. Der Akteur platzierte diesen neuen Worker „vor“ seinen bestehenden Phishing-Kits und schützte sie sofort mit einer Routing- und Umgehungsschicht.

Anfang bis Mitte 2025: Skalierung und Verfeinerung

• Der Akteur begann, mehrere Phishing-Kampagnen parallel zu starten, die auf verschiedene Opfergruppen abzielten.

• Sie skalierten ihre Infrastruktur durch den Einsatz eines zweiten und dritten Cloudflare Worker-Clusters (März und Juli 2025), wobei jede Iteration verbesserte Anti-Analyse-Funktionen integrierte, um Sicherheitsuntersuchungen zu erschweren.

• Während dieses Zeitraums wurden die Phishing-Kits um Funktionen wie CAPTCHA, verbesserte Umgehung und täuschendere Umleitungen zu legitimen Microsoft-Fehlerseiten erweitert.

Mitte 2025 (Juli–August): Höchste Raffinesse

• Die letzte große Entwicklung war die Integration von Methoden zur Datenexfiltration in Echtzeit, wie z. B. Telegram-Bots, direkt in die Phishing-Skripte. Dies ermöglichte es dem Akteur, sofort MFA-QR-Codes und gestohlene Anmeldedaten zu erhalten und kennzeichnete den Höhepunkt der Operation.

Aktualisierung der RaccoonO365-Plattform

Als Reaktion auf die laufenden Abwehrmaßnahmen von Cloudflare gegen ihre Infrastruktur nutzten die Betreiber von RaccoonO365 ihren privaten Telegram-Kanal, um eine Reihe von „Plattform-Updates“ zu veröffentlichen, in denen eine strategische Neuausrichtung angekündigt wurde, um „sich von Cloudflare zu lösen“.

Eines der früheren Fortschrittsupdates stellte ein neues „Mini-Panel“ für Abonnenten vor, das offenbarte, dass die neue Infrastruktur von RaccoonO365, trotz des Ziels, unabhängig zu werden, weiterhin teilweise auf Cloudflare Workers angewiesen sein würde.

Ein Fortschrittsupdate zur RaccoonO365-Migration kündigt ein neues „Mini-Panel“ für Abonnenten an.

In einem späteren „Migrations-Update“ des Betreibers RaccoonO365 wurde ausdrücklich auf ihre „Mission, sich von Cloudflare zu lösen“ hingewiesen. Der Beitrag enthielt detaillierte technische Pläne zum Aufbau eines „völlig unabhängigen und kugelsicheren“ Systems als direkte Reaktion auf die Bemühungen zur Durchsetzung und Störung der Plattform.

Ein „Migrations-Update“ von RaccoonO365, das ihre „Mission, sich von Cloudflare zu lösen“ beschreibt.

Am 5. September 2025, nach den Abwehrmaßnahmen von Cloudflare, veröffentlichte das RaccoonO365-Team eine Ankündigung auf Telegram, um die Situation für seine Abonnenten neu zu formulieren. Sie präsentierten die Störung als eine geplante „Wiedergeburt“ ihres Dienstes, indem sie alte „Legacy-Links“ abschalteten und die Nutzer zu einer neuen Plattform leiteten, um den Zugang zu erhalten – ein klarer Versuch, sich von den Störungen zu erholen und ihren Kundenstamm zu halten, indem sie ihre Betriebsabläufe auf neuer Infrastruktur aufbauen.

RaccoonO365-Administratoren kündigen die Abschaltung von „Legacy-Links“ an und fordern die Abonnenten auf, zu einem neuen Tarif zu wechseln.

Koordinierung unserer RacoonO365-Störung

Unsere Strategie entwickelte sich von einer reaktiven Haltung zu einer proaktiven und koordinierten Vorgehensweise.

1. Ausgangszustand: Das Trust & Safety-Team von Cloudflare bearbeitete individuelle Missbrauchsbeschwerden und schaltete RaccoonO365-Domains ab, sobald sie identifiziert wurden. Im Laufe der Zeit wurde deutlich, dass eine umfassendere, koordinierte Operation erforderlich war, um die Gesamtwirksamkeit des Akteurs weiter zu stören.

2. Zusammenarbeit: Microsoft leitete die rechtlichen Maßnahmen ein und beschlagnahmte Hunderte von RaccoonO365-Domains, während Cloudflare Maßnahmen ergriff, um alle RaccoonO365-Aktivitäten auf unserer Plattform einzustellen. Zusammen mit den US-Strafverfolgungsbehörden haben wir geholfen, die operative Vorgehensweise des Bedrohungsakteurs zu ändern.

3. Identifizierung der Infrastruktur: Mithilfe von Anmeldemustern konnten wir die gesamte Infrastruktur des Akteurs auf unserer Plattform umfassend abbilden, einschließlich Domains und Dutzender Worker-Konten.

4. Koordinierte Lahmlegung: Anfang September 2025 führte Cloudflare einen „Rugpull“ auf RaconO365 durch. In Abstimmung mit Microsoft begann die erste Phase der Lahmlegung von Cloudflare am 2. September 2025, mit weiteren Maßnahmen am 3. September 2025 und 4. September 2025. Dann haben wir alle identifizierten Domains gesperrt, zwischengeschaltete „Phish-Warn“-Seiten davor platziert, die zugehörigen Workers-Skripte beendet und die Benutzerkonten gesperrt, um eine erneute Registrierung zu verhindern.

Diese koordinierte Aktion soll zusammen mit den rechtlichen Bemühungen von Microsoft und den US-Strafverfolgungsbehörden die Fähigkeit der Gruppe, auf unserer Plattform und darüber hinaus zu operieren, dauerhaft unterbinden.

Ereignis-Timeline

Empfehlungen

Cloudflare empfiehlt die folgenden Schritte, um Bedrohungen durch PhaaS-Operationen wie RaccoonO365 zu mindern.

• E-Mail-Sicherheitskontrollen

  • Verwenden Sie erweiterten E-Mail-Sicherheitsschutz, um Betrug zu stoppen, bevor er den Posteingang erreicht. Cloudflare Email Security kann PhaaS-E-Mails in Echtzeit mithilfe von E-Mail-Erkennungs-Fingerabdrücken (EDF) und maßgeschneiderten Erkennungen identifizieren.

  • Erzwingen Sie das strikte Scannen von Anhängen und URLs (verdächtige Inhalte vor der Zustellung in einer Sandbox isolieren).

  • Aktivieren Sie DMARC, SPF und DKIM mit Durchsetzung, um E-Mail-Spoofing zu verringern.

• Identitäts- und Zugriffsabsicherung

  • Setzen Sie eine phishing-resistente MFA (FIDO2/WebAuthn, Smartcards) durch, anstelle von SMS/OTP-basierter MFA, die von AiTM-Kits wie RaccoonO365 leicht umgangen werden kann.

  • Verwenden Sie Richtlinien für bedingten Zugriff (Geo-Restriktionen, Geräte-Compliance, Regeln für unmögliche Entfernung).

  • Rotieren und prüfen Sie privilegierte Konten regelmäßig.

• Sensibilisierung und Schulung von Nutzern

  • Bieten Sie fortlaufende Phishing-Simulationen und Schulungen an, um den Mitarbeitenden zu helfen, häufige Köder (HR-Dokumente, Rechnungen, M365-Login Prompts) zu erkennen.

  • Berichterstattung statt Schuldzuweisungen betonen: Machen Sie es Nutzern Nutzern einfach und lohnenswert, verdächtige E-Mails zu melden.

• Web- und Endpunktschutz

  • Verwenden Sie DNS-Filterung und sichere Web-Gateways, um den Zugriff auf neu registrierte und verdächtige Domains zu blockieren.

  • Nutzen Sie die Browserisolierung für Hochrisikokategorien (z. B. Finanz- und Cloud-Produktivitätsanmeldungen).

  • Setzen Sie EDR/XDR ein, um Aktivitäten nach Phishing-Angriffen (Diebstahl von Zugangsdaten, ungewöhnliches Browserverhalten) zu erkennen.

• Vorbereitung auf die Reaktion auf Vorfälle

  • Automatisierte Erkennung und Sperrung gestohlener Sitzungs-Cookies und OAuth-Tokens.

  • Entwickeln Sie ein Handbuch für schnelle Anmeldeinformationen-Resets und Kontowiederherstellung.

  • Testen Sie die Reaktionsprozesse gegen simulierte AiTM- und Phishing-Kampagnen.

• Anbieter- und SaaS-Sicherheit

  • Arbeiten Sie mit Cloud- und SaaS-Anbietern zusammen, um eine kontinuierliche Überwachung der Mandantenaktivitäten zu ermöglichen.

  • Aktivieren Sie Benachrichtigungen für verdächtige Einwilligungen, OAuth-App-Installationen oder ungewöhnlichen API-Zugriff.

  • Verlangen Sie von Mandanten und Dritten, sich an phishing-resistente Identitätskontrollen zu halten.

Darüber hinaus bieten wir allen Organisationen (ob Cloudflare-Kunde oder nicht) kostenlosen Zugang zu unserem E-Mail-Retro-Scan-Tool, damit sie unsere prädiktiven KI-Modelle nutzen können, um vorhandene Posteingangsnachrichten zu scannen. Retro Scan erkennt alle gefundenen Bedrohungen und hebt diese hervor, sodass Unternehmen diese direkt in ihren E-Mail-Konten beheben können. Mit diesen Erkenntnissen können Unternehmen weitere Kontrollen implementieren, entweder mit Cloudflare Email Security oder ihrer bevorzugten Lösung, um zu verhindern, dass ähnliche Bedrohungen in Zukunft in ihre Posteingänge gelangen.

Hinweise auf Kompromittierung (IOCs)

Die Liste der RaccoonO365-Domains, die in der folgenden Tabelle aufgeführt sind, enthält einige der neueren Infrastrukturen, die von diesem kriminellen Unternehmen genutzt werden, bietet jedoch nur einen Ausschnitt aus der sehr langen Liste von Indikatoren, die von Cloudforce One erfasst werden. Um mehr über den Zugriff auf die vollständige Liste der Indikatoren zusammen mit zusätzlichem verwertbarem Kontext zu erfahren, beziehen Sie sich auf unsere Plattform für Bedrohungsereignisse, die für Cloudforce One-Kunden verfügbar ist.

Domains

E-Mail-Erkennungs-Fingerabdrücke (E-Mail Detection Fingerprints, EDF)