Cloudflare, RaccoonO365 방해를 위한 글로벌 작전에 참여
위협 요약 - 2025년 9월 10일
개요
Microsoft와의 협력으로, Cloudflare의 Cloudforce One 및 신뢰와 안전팀은 RaccoonO365로 알려진 서비스형 피싱(PhaaS) 범죄 조직을 성공적으로 저지했습니다. 이 보고서는 Microsoft 365 자격 증명을 겨냥한 정교한 피싱 작업에 대해 취해진 기술적 및 법적 조치를 자세히 설명합니다. RaccoonO365 그룹은 피싱 키트가 감지되지 않도록 하기 위해 Cloudflare 서비스 및 기타 인프라 공급자를 악용했습니다.
Cloudflare는 단일 도메인 무력화에 그치는 사후 대응에서, 공격자의 운영 인프라를 플랫폼 차원에서 무너뜨리는 선제적이고 대규모적인 차단으로 전략을 전환했습니다. 우리는 2025년 9월 초에 협력된 조치를 실행하여 RaccoonO365의 운영 비용을 크게 증가시키고, 이를 통해 다른 악성 행위자들에게도 무료 등급을 노리는 범죄 행위자들은 값비싼 대가를 치르게 될 것이라는 메시지를 전달하고자 합니다.
핵심 요약
Cloudflare는 Microsoft와 협력하여 정교한 서비스형 피싱(PhaaS) 서비스를 제공하는 범죄 기업인 RaccoonO365에 맞서 조치를 취했습니다.
이 캠페인의 주요 공격 벡터는 Microsoft 365 자격 증명을 탈취하기 위해 설계된 피싱 키트였습니다.이 키트는 간단한 CAPTCHA 페이지와 안티 봇 기술을 사용하여 분석을 회피하��고 피해자에게 합법적으로 보이도록 합니다.
행위자의 궁극적인 목표는 구독자에게 탈취한 자격 증명, 쿠키, 피해자 계정(OneDrive, SharePoint, 이메일 포함)의 데이터를 제공하여 금융 사기, 갈취에 악용하게 하거나 대규모 공격의 초기 접근 권한으로 활용할 수 있도록 하는 것이었습니다.
2025년 9월 초, Cloudflare는 서비스에서의 피싱 남용을 방지하기 위한 전략적 노력으로, 공격자와 관련된 수백 개 도메인과 Worker 계정을 대상으로 협력적 무력화 조치를 실행했고, 이를 통해 네트워크에서 그들의 인프라를 효과적으로 해체했습니다. 이번 조치는 8월 말에 제기된 민사 소송을 포함한 Microsoft의 광범위한 대응과 협력하여 진행된 것입니다.
이 보고서는 다른 사람들이 이와 유사한 위협을 방어하는 데 도움이 되도록 공격자의 TTP, Cloudflare의 완화 전략, 손상 지표(IOC)에 대한 기술적 세부 정보를 제공합니다.
RaccoonO365란 무엇인가?
RaccoonO365는 금전적 이익을 목적으로 Microsoft 365 사용자를 광범위하게 표적으로 삼아, 구독자가 자체 자격 증명 수집 캠페인을 시작할 수 있도록 설계된 PhaaS 모델을 운영하는 범죄 조직입니다. Microsoft에 따르면 2024년 7월 이후로 RaccoonO365의 키트가 94개국에서 최소 5,000개의 Microsoft 자격 증명을 탈취하는 데 사용되었습니다. 피해자에게 전송되는 이메일 메시지에는 일반적으로 링크나 QR 코드가 포함된 첨부 파일이 있습니다. 이 악성 링크는 간단한 CAPTCHA가 있는 페이지로 연결됩니다. CAPTCHA가 해결되면 사용자는 자격 증명을 탈취하도록 설계된 가짜 Microsoft O365 로그인 페이지로 리디렉션됩니다. 이 활동이 성공하면, 맬웨어 또는 랜섬웨어 감염의 전조가 되는 경우가 많습니다.
이 그룹은 2025년 8월 25일 기준으로 845명의 회원을 보유한 비공개 텔레그램 채널을 통해 "RaccoonO365 제품군" 구독을 판매합니다. 이 플랫폼은 계층화된 가격 모델로 운영되며, 단기 테스터부터 지속적으로 캠페인을 운영하는 범죄자까지 다양한 범죄자에게 어필할 수 있는 구조를 갖추고 있습니다. 요금제는 30일 355달러, 90일 999달러 등 다양한 기간별로 판매됩니다. 이 서비스는 USDT(TRC20, BEP20, Polygon), 비트코인(BTC) 같은 암호화폐만 받습니다.
전문적인 가격으로 범죄 서비스를 마케팅하고 암호화폐로 결제를 수락하는 RaccoonO365
RaccoonO365는 범죄 고객에게 서비스의 보안성과 익명성을 보장하기 위해 ‘방탄 VPS’ 위에서 호스팅되는 완전 관리형 운영이며, ‘백도어 없음’, ‘추적 없음’을 특징으로 한다고 홍보합니다. 이들은 다단계 인증(MFA)을 우회하는 기능을 포함하여 정교한 피싱 캠페인을 수행하려는 사이버 범죄자들의 진입 장벽을 낮추는 포괄적인 도구와 서비스를 제공함으로써 PhaaS 모델을 구현합니다.
Microsoft의 보안 조치를 우회하기 위해 "2단계 인증 링크 서비스"를 광고하는 RaccoonO365 범죄 조직의 대중 공개 포털
Microsoft는 이 그룹의 리더를 나이지리아에 거주하는 Joshua Ogundipe로 식별했으며, 텔레그램 봇의 이름에 러시아어를 사용한 것으로 볼 때 이 그룹이 러시아어를 사용하는 사이버 범죄자들과 협력했음을 짐작해 볼 수 있습니다.
캠페인 분석 및 위협 분석
공격 체인
RaccoonO365의 공격 체인은 은밀하게 보안 조치를 우회하며 사용자의 의심을 피하도록 설계되었습�니다.
1. 초기 유인책
RaccoonO365는 여러 가지 독특한 피싱 기법을 사용했습니다. 우리는 DocuSign, SharePoint, Adobe, Maersk와 같은 신뢰할 수 있는 브랜드를 사칭한 여러 자격 증명 피싱 캠페인을 관찰했습니다. 별도로, 첨부 파일과 이미지 기반 링크를 전달 수단으로 사용한 여러 PDF 기반 캠페인도 확인했습니다. 이 첨부 파일에는 악성 QR 코드 또는 피해자를 피싱 페이지로 리디렉션하는 링크가 포함된 클릭 가능한 이미지가 포함되어 있었습니다.
RaccoonO365 피싱 이메일은 친숙한 직장 테마를 사용하여 신뢰를 악용하고 긴박성을 유발함으로써 표적으로 삼은 회사 내 신뢰할 수 있는 브랜드나 조직을 가장하도록 제작되었습니다. 파일 이름은 재무 또는 인사 문서, 정책 협약, 계약서, 송장과 같은 일상적인 커뮤니케이션을 모방하도록 설계되었습니다. 일부 경우, 신뢰성을 높이기 위해 링크나 첨부 파일에 수신자의 이름을 포함시켜 한층 더 정교하게 작성된 이메일도 있었습니다. 이 소셜 엔지니어링 전략은 사용자가 메시지를 합법적이라고 믿고 클릭할 가능성을 높입니다.
사용자를 피싱 페이지로 연결하는 "문서 검토" 버튼이 포함된 RaccoonO365 DocuSign 이메일.
사용자를 피싱 페이지로 연결하는 "지금 보기" 버튼이 포함된 RaccoonO365 Adobe Acrobat 이메일.
Maersk를 사칭한 RaccoonO365 피싱 이메일. PDF에는 이미지 기반 링크가 포함된 문서가 있으며, 이 링크는 사용자를 피싱 페이지로 보냅니다.
PDF에 문서의 흐릿한 이미지가 하나 포함된 PDF 기반 RaccoonO365 캠페인. 이미지의 어느 곳이든 클릭하면 사용자는 피싱 페이지로 이동됩니다.
QR 코드가 포함된 PDF 첨부 파일이 있는 RaccoonO365 캠페인. 코드를 스캔하면 사용자가 피싱 페이지로 안내됩니다.
2. 사람 인증 및 감지 회피
공격 대상이 이메일, PDF, QR 코드에 포함된 악성 링크에 액세스하면 사람 인증을 위한 단순한 “로봇이 아닙니다” CAPTCHA로 보호되는 랜딩 페이지로 리디렉션됩니다.
피싱 키트가 자동화된 보안 도구를 차단하고 목표로 삼은 사람만 액세스할 수 있도록 만들기 위해 사용하는 기본 CAPTCHA 페이지
이 단계에서 RaccoonO365의 스크립트는 보안 연구자와 자동화 시스템을 차단하기 위해 다음과 같은 여러 기술을 사용합니다.
봇 감지: 여러 검사를 실행하여 자동화된 트래픽을 식별하고 걸러냅니다.
자동화 검사: 특히 WebDriver 같은 도구의 존재를 찾고 브라우저의 사용자 에이전트를 분석합니다.
브라우저 지문 인식: 캔버스 지문 인식과 같은 고급 방법을 사용하여 분석 환경을 식별하고 차단합니다.
분석 방지: 개발자 도구의 키보드 단축키를 적극적으로 비활성화하고 브라우저 콘솔을 비활성화하여 코드 검사를 방지합니다.
3. 피싱 페이지
사용자가 CAPTCHA 및 기타 기준을 통과하면 사기성 Microsoft 365 로그인 페이지가 표시됩니다. RaccoonO365 플랫폼은 Microsoft 365 서비스를 모방한 설득력 있는 로그인 페이지를 생성하는 도구를 제공하여 자격 증명 탈취 가능성을 높입니다.
악성 도메인에 호스팅된 Microsoft 365 자격 증명 수집 페이지
공격 체인의 이 부분에서는 다음과 같은 단계가 진행됩니다.
자격 증명 및 세션 탈취: 피해자가 자격 증명을 입력하면, 이 키트는 중간자 공격 방식으로 작동하여 인증 흐름을 Microsoft 서버로 프록시 처리하며, 공격자가 비밀번호뿐 아니라 생성된 세션 쿠키까지 탈취하여 MFA를 효과적으로 우회할 수 있도록 합니다.
유출: 자격 증명, 쿠키, O365 파일, 시스템 정보 등 일단 수집된 탈취 데이터는 스크립트화된 URL을 통해 지정된 이메일로 바로 전송되어 유출됩니다. 그러나 이들의 전술은 7월경부터 텔레그램으로의 데이터 유출도 포함하도록 진화했습니다.
공격자 툴킷의 기능
RaccoonO365는 감지를 피하기 위해 합법적인 인프라 위에 운영을 구축했습니다. 무료 계정을 활용하여 Cloudflare Workers를 전략적으로 배포하여 중개 계층으로 작동하게 함으로써 백엔드 피싱 서버가 대중에게 직접 노출되지 않도록 보호했습니다.
RaccoonO365의 코드베이스 분석
RaccoonO365 악성 코드는 다음과 같은 다양한 기능을 수행하도록 설계되었습니다.
분석 방지 및 회피: 요청이 실제 피싱 서버로 전달되기 전, Cloudflare Workers 스크립트는 해당 요청이 보안 연구자, 자동화 스캐너 또는 샌드박스 환경에서 온 것인지 여부를 확인했습니다. 만약 어떤 경고 신호가 감지되면, 연결이 끊기거나 클라이언트가 오류 메시지를 받게 되어 피싱 키트가 효과적으로 숨겨집니다.
그들의 회피 전술에는 다음이 포함됩니다.
사용자 에이전트 필터링: 18개 이상의 알려진 자동 분석 도구, 크롤러, 헤드리스 브라우저(예: NetcraftSurveyAgent, python-requests, Headless) 목록을 차단합니다.
보안 벤더 회피: Safelinks.protection.outlook.com 및 urldefense.proofpoint.com 등의 이메일 게이트웨이를 포함하여 최소 17개 주요 보안 서비스의 인프라에서 시작하는 연결을 적극적으로 차단합니다.
네트워크 수준 차단: 알려진 데이터 센터, 특정 ISP, Tor 출구 노드, 접속 IP(할당되지 않은 IP 범위)의 요청에 대한 액세스를 거부합니다.
헤더 및 리퍼러 검사: Microsoft의 Smartscreen에서 사용하는 Origin 헤더와 같은 분석 징후가 있는지 HTTP 헤더를 검사합니다.
동적 트래픽 라우팅: 보안 검사를 통과한 요청에 대해, 공격자의 악성 스크립트는 추가적으로 트래픽 컨트롤러로서의 기능도 수행했습니다. 이 스크립트는 공격자의 숨겨진 백엔드 서버(예: sharedsyncdriveforwork[.]com 및 sponsoredmetasocialtasks[.]vip)에서 적절한 피싱 콘텐츠를 동적으로 가져와 제공했으며, 다음과 같은 기능을 제공했습니다.
리버스 프록시: 이 스크립트는 피싱 서버의 실제 IP 주소를 숨겨 Cloudflare 네트워크에서 시작된 것처럼 보이게 했습니다. 보안 분석가에게 초기 연결은 Cloudflare에서 끝나는 것처럼 보이며, 이는 공격자의 실제 인프라를 숨깁니다.
트리거 경로 로직: 공격자는 코드에 고유한 변수를 “트리거 경로”로 삽입하여 코드의 핵심 기능을 변경할 필요 없이 단일 변수를 수정함으로써 트래픽을 다른 피싱 캠페인으로 원활하게 리디렉션하거나 백엔드 로직을 조정할 수 있습니다.
중앙 집중식 관리: 이 아키텍처를 통해 공격자는 최소한의 오버헤드로 대규모 피싱 작업을 오케스트레이션할 수 있습니다. 코드의 일부분만 수정하면 새로운 회피 기술을 빠르게 전파하고, 라우팅 로직을 업데이트하거나 전체 캠페인을 이동시킬 수 있어, 수십 개의 개별 피싱 키트를 재배포하거나 재구성할 필요가 없습니다.
진화와 확장
RaccoonO365는 단순히 Worker 하나를 세워두고 방치하지 않았습니다. 그들은 지속적인 피싱 작업을 지원하기 위해 배포를 지속적으로 유지하고, 업데이트하며, 확장했습니다.
2024년 10월: 캠페인 개시
가장 먼저 감지된 활동은 초기 JavaScript 피싱 캠페인의 배포였습니다.
이 작전의 주요 목적은 첫날부터 자격 증명 탈취였으며, Microsoft 365 비즈니스 계정에 집중되어 있었습니다. 이러한 초기 키트는 시간이 지나면서 지속적으로 개선될 기본 코드의 기초를 형성했습니다.
2024년 12월: 인프라 배포
첫 번째 피싱 키트가 나타난 지 2개월 후, 공격자는 첫 번째 Cloudflare Worker 클러스터를 배포함으로써 중요한 전략적 업그레이드를 단행했습니다.
이는 단순한 피싱 설정에서 정교한 2계층 아키텍처로의 전환을 나타냅니다. 공격자는 새로운 Worker를 기존 피싱 키트의 "앞"에 배치하고, 라우팅 및 회피 계층으로 즉시 보호했습니다.
2025년 초~중반: 확장 및 정제
공격자는 여러 피해자 그룹을 겨냥하여 여러 피싱 캠페인을 동시에 시작했습니다.
이들은 두 번째와 세 번째 Cloudflare Worker 클러스터(2025년 3월 및 7월)를 배포하여 인프라를 확장했으며, 각 반복마다 보안 조사를 방해하는 향상된 분석 방지 기능을 통합했습니다.
이 기간 동안 피싱 키트는 CAPTCHA, 향상된 회피 기능, 합법적인 Microsoft 오류 페이지로의 더 기만적인 리디렉션과 같은 기능으로 강화되었습니다.
2025년 중반(7월 - 8월): 정교함의 정점
마지막으로 중요한 발전은 텔레그램 봇 같은 실시간 데이터 유출 수단이 피싱 스크립트에 직접 통합된 것입니다. 이를 통해 공격자는 MFA QR 코드와 탈취한 자격 증명을 즉시 받을 수 있었고, 이때가 작전 능력이 가장 높았던 시점입니다.
RaccoonO365 플랫폼 업데이트
Cloudflare의 인프라 완화 조치에 대응하여, RaccoonO365 운영자들은 비공개 텔레그램 채널을 통해 일련의 “플랫폼 업데이트”를 발표하며 “Cloudflare 떨쳐내기”라는 전략적 전환을 선언했습니다.
초기 진행 상황 업데이트 중 하나에서 구독자를 위한 새로운 ‘Mini Panel’이 공개되었으며, 독립을 목표로 했음에도 불구하고 RaccoonO365의 새로운 인프라는 여전히 부분적으로 Cloudflare Workers에 의존할 계획임을 보여주었습니다.
RaccoonO365 마이그레이션 진행 상황 업데이트에서 공개된 구독자를 위한 새로운 ‘Mini Panel’.
RaccoonO365 운영자는 이후 “마이그레이션 업데이트”에서 “Cloudflare를 떨쳐내는 것이 사명”이라고 명시적으로 언급했습니다. 이 게시물에서는 플랫폼 제재와 방해 �조치에 대응하여 “완전히 독립적인 방탄” 시스템을 구축하기 위한 기술적 계획이 구체적으로 소개되었습니다.
“Cloudflare를 떨쳐내는 것이 사명”이라고 명시적으로 언급한 RaccoonO365의 “마이그레이션 업데이트”.
2025년 9월 5일, Cloudflare의 완화 노력 이후, RaccoonO365 팀은 상황을 구독자에게 재구성하기 위해 텔레그램에 공지를 게시했습니다. 그들은 이번 방해 조치를 서비스의 계획된 “재탄생”이라고 표현하며, 기존 “레거시 링크”를 폐쇄하고 사용자를 새 플랫폼으로 안내하여 접근을 유지하도록 했습니다. 이는 명백히 방해 조치에서 회복하고 고객 기반을 유지하기 위해 새 인프라에서 운영을 재구축하려는 시도입니다.
“레거시 링크”의 폐쇄를 발표하고 구독자에게 새 요금제로 이전할 것을 요구하는 RaccoonO365 관리자.
RacoonO365 방해 전략 조율
우리의 전략은 반응적인 자세에서 사전 예방적이고 조율된 혼란을 일으키는 방향으로 발전했습니다.
초기 상태: Cloudflare의 신뢰 및 안전팀은 RaccoonO365 도메인이 식별되는 대로 개별 남용 컴플레인을 해결했습니다. 시간이 지나면서 공격자의 전반적인 효과성을 더욱 저해하기 위해 더 광범위하고 협력적인 작전이 필요하다는 것이 분명해졌습니다.
협업: Microsoft는 법적 조치를 통해 수백 개의 RaccoonO365 도메인을 압수했고, Cloudflare는 자사 플랫폼에서 모든 RaccoonO365 운영을 중단시키는 조치를 취했습니다. 또한, 미국 사법 기관과 협력하여 위협 행위자의 작전 경로를 변경하는 데 기여했습니다.
인프라 식별: 우리는 가입 패턴을 분석하여, 플랫폼에서 도메인과 수십 개의 Worker 계정을 포함하는 공격자의 전체 인프라를 포괄적으로 매핑할 수 있었습니다.
협력적 무력화: 2025년 9월 초, Cloudflare는 RaccoonO365에 대해 “러그풀” 조치를 실행했습니다. Microsoft와 협력하여, Cloudflare의 초기 무력화 단계는 2025년 9월 2일에 시작되었으며, 추가 조치는 2025년 9월 3일과 4일에 시행되었습니다. 그런 다음 식별된 모든 도메인을 차단하고, 도메인 앞에 “피싱 경고” 페이지를 배치하며, 관련 Workers 스크립트를 종료시키고, 사용자 계정을 정지시켜 재등록을 방지했습니다.
Microsoft 및 미국 사법 기관과의 법적 조치와 함께 진행된 이번 협력적 조치는 해당 그룹이 우리의 플랫폼과 그 외부 환경에서까지 운영할 수 있는 능력을 영구적으로 제거하는 것을 목적으로 합니다.
이벤트 타임라인
권장 사항
Cloudflare는 RaccoonO365와 같은 PhaaS 운영으로 인한 위협을 완화하기 위해 다음 단계를 권장합니다.
이메일 보안 제어
고급 이메일 보안 보호 기능을 사용하여 스캠이 받은 편지함에 도달하기 전에 차단하세요. Cloudflare Email Security는 이메일 감지 지문(EDF)과 맞춤형 감지 기능을 사용하여 실시간으로 PhaaS 이메일을 탐지할 수 있습니다.
엄격한 첨부 파일 및 URL 스캔을 시행하고, 전송 전에 의심스러운 콘텐츠를 샌드박스로 처리하세요.
이메일 스푸핑을 줄이기 위한 조치와 함께 DMARC, SPF, DKIM을 활성화하세요.
ID 및 액세스 강화
SMS/OTP 기반 MFA 대신 피싱 방지 MFA(FIDO2/WebAuthn, 스마트카드)를 강제 시행하세요. RaccoonO365와 같은 AiTM 키트는 SMS/OTP 기반 MFA를 쉽게 우회할 수 있습니다.
조건부 액세스 정책(지리적 제한, 장치 규제 준수, 불가능한 이동 규칙)을 사용하세요.
권한 있는 계정을 정기적으로 교체하고 감사하세요.
사용자 인식 및 교육
직원들이 일반적인 미끼(HR 문서, 청구서, M365 로그인 프롬프트)를 인식할 수 있도록 지속적으로 피싱 시뮬레이션과 교육을 제공하세요.
비난보다 보고를 강조: 사용자가 의심스러운 이메일을 쉽고 보고하고, 보람을 느낄 수 있도록 하세요.
웹 및 엔드포인트 보호
DNS 필터링과 보안 웹 게이트웨이를 사용하여 새로 등록된 도메인과 의심스러운 도메인에 대한 접근을 차단하세요.
고위험 범주(예: 금융, 클라우드 생산성 로그인)에 브라우저 격리를 활용하세요.
EDR/XDR을 배포하여 피싱 후 활동(자격 증명 도용, 비정상적인 브라우저 동작)을 탐지하세요.
사고 대응 준비
도난당한 세션 쿠키 및 OAuth 토큰의 감지 및 철회를 자동화하세요.
신속한 자격 증명 재설정 및 계정 복구를 위한 플레이북을 준비하세요.
시뮬레이션된 AiTM 및 피싱 캠페인에 대한 대응 프로세스를 테스트하세요.
벤더 및 SaaS 보안
클라우드 및 SaaS 공급자와 협력하여 테넌트 활동을 지속적으로 모니터링할 수 있도록 하세요.
의심스러운 동의 부여, OAuth 애플리케이션 설치, 또는 비정상적인 API 접근에 대한 알림을 활성화하세요.
테넌트 및 제3자에게 피싱 방지 ID 제어 준수를 의무화하세요.
또한 모든 조직(Cloudflare 고객인지 여부에 관계없이)에게 이메일 Retro Scan 도구에 무료로 액세스할 수 있는 권한을 제공하여, 예측 AI 모델을 사용해 기존 받은 편지함 메시지를 스캔할 수 있도록 해야 합니다. Retro Scan은 위협을 감지하고 발견된 모든 위협을 강조 표시하여 조직이 이메일 계정에서 바로 조치를 취할 수 있도록 해줍니다. 이러한 통찰력을 통해 조직은 Cloudflare Email Security 또는 선호하는 솔루션을 사용하여 향후 유사한 위협이 받은 편지함에 도달하는 것을 방지하기 위한 추가 제어 기능을 구현할 수 있습니다.
손상 지표(IOC)
아래 표에 나열된 RaccoonO365 도메인 목록에는 이 범죄 조직에서 사용 중인 최신 인프라가 포함되어 있지만, Cloudforce One이 추적한 매우 긴 지표 목록의 일부 샘플만 제공하는 것입니다. 전체 지표 목록과 실행 가능한 추가 인사이트를 확인하는 방법을 자세히 알아보려면, Cloudforce One 고객을 위한 Cloudflare 위협 이벤트 플랫폼을 참조하세요.
