Cloudflare 參與搗毀 RaccoonO365 的全球行動
威脅簡介 - 2025 年 9 月 10 日
概觀
Cloudflare 的 Cloudforce One 以及信任與安全團隊與 Microsoft 通力合作,成功搗毀了名為 RaccoonO365 的網路釣魚即服務 (PhaaS) 犯罪企業。本報告詳細介紹了為對抗一起針對 Microsoft 365 認證的複雜網路釣魚運作,採取的協調一致的技術和法律行動。RaccoonO365 團體濫用 Cloudflare 服務和其他基礎架構提供者,試圖阻止其網路釣魚套件被偵測到。
Cloudflare 的回應代表了一項策略性的轉變,從被動的單一網域關閉轉向主動的大規模中斷,旨在摧毀執行者在我們平台的運營基礎架構。我們在 2025 年 9 月初採取協調行動,目標是顯著增加 RaccoonO365 的營運成本,並向其他惡意執行者發出明確的訊息:免費方案對於犯罪企業來說過於昂貴。
報告摘要
Cloudflare 與 Microsoft 協作,針對 RaccoonO365 採取行動,這是一間提供複雜的網路釣魚即服務 (PhaaS) 服務的犯罪企業。
該活動的主要攻擊手段是設計用於竊取 Microsoft 365 認證的網路釣魚套件。該套件使用簡單的 CAPTCHA 頁面和反機器人技術來逃避分析,並在受害者看來是合法的。
該執行者的最終目標是向訂閱者提供從受害者帳戶(包括 OneDrive、SharePoint 和電子郵件)竊取的�認證、Cookie 和資料,這些資料可能會被用於金融詐欺、勒索,或作為更大規模攻擊的初始存取點。
2025 年 9 月初,為防止對我們服務進行這種網路釣魚濫用,Cloudflare 執行了一次協調一致的行動,移除與該執行者關聯的數百個網域和 Worker 帳戶,從而有效地摧毀了他們在我們網路上的基礎架構。此行動是與 Microsoft 在 8 月下旬提起的民事訴訟中更廣泛的工作協調開展的。
本報告提供攻擊者 TTP 的技術詳細資料、我們的緩解策略和入侵指標 (IOC),以協助其他人防禦此威脅及類似威脅。
什麼是 RaccoonO365?
RaccoonO365 是一個具有經濟動機的犯罪企業,營運 PhaaS 模型,旨在廣泛針對 Microsoft 365 使用者,使訂閱者能夠發起自己的認證收集活動。據 Microsoft 稱,自 2024 年 7 月以來,RaccoonO365 的套件已被用於從 94 個國家/地區竊取至少 5,000 個 Microsoft 認證。傳送給受害者的電子郵件通常附有包含連結或 QR 碼的附件。惡意連結指向一個包含簡單 CAPTCHA 的頁面。一旦解析 CAPTCHA,使用者會被重導向至一個虛假的 Microsoft O365 登入頁面,該頁面旨在竊取認證。如果成功,此活動通常是惡意程式碼或勒索軟體感染的前兆。
該組織透過私人 Telegram 頻道,銷售其「RaccoonO365 Suite」的訂閱,該頻道截至 2025 年 8 月 25 日已有 845 名成員。該平台採用分級定價模式運作,其產品結構旨在吸引各類罪犯,從短期測試者到持續活動的營運者。方案以各種期限出售,例如,30 天的方案為 355 美元,90 天的方案為 999 美元。該服務僅接受加密貨幣,包括 USDT (TRC20、BEP20、Polygon) 和比特幣 (BTC)。
RaccoonO365 以專業外觀的價目表推銷犯罪服務,並接受加密貨幣付款
RaccoonO365 在推銷其服務時,聲稱其服務是託管在「防彈 VPS」上的全受管運作,具有「零後門」和「零追蹤」,以保證其犯罪客戶的服務安全性和匿名性。他們以 PhaaS 模型為範本,提供一整套工具和服務,包括繞過多重要素驗證 (MFA) 的能力,降低網路罪犯執行複雜網路釣魚活動的門檻。
面向公眾的 RaccoonO365 犯罪集團入口網站,宣傳「雙重驗證連結服務」以繞過 Microsoft 的安全性措施。
Microsoft 確認該組織的領導者是 Joshua Ogundipe,他目前居住在奈及利亞,而使用俄語的 Telegram 機器人名稱等證據顯示,該組織還與講俄語的網路罪犯合作。
活動分析與威脅分析
攻擊鏈
RaccoonO365 的攻擊鏈專為隱秘而設計,能夠繞過安全性措施並避免使用者的懷疑。
1. 初始誘餌
RaccoonO365 採用若干不同的網路釣魚技術。我們觀察到多起冒充 DocuSign、SharePoint、Adobe 和 Maersk 等可信品牌進行的認證網路釣魚活動。另外,我們識別了多項基於 PDF 活動,使用附件和影像連結作為傳遞媒介。這些附件包含惡意 QR 碼或可點選影像,內嵌連結將受害者重新導向至網路釣魚頁面。
RaccoonO365 網路釣魚電子郵件被設計成冒充目標公司內的受信任品牌或組織,利用熟悉的工作場所主題來剝削信任並製造緊迫感。檔案名稱旨在模仿日常通訊,例如財務或人力資源文件、政策協議、合約和發票。在某些情況下,電子郵件會更進一步,將收件人的姓名合併到連結或附件中,以增強可信度。這種社交工程策略增加了使用者點選的可能性,因為他們相信該訊息是合法的。
RaccoonO365 DocuSign 電子郵件包含「檢閱文件」按鈕,將使用者導向至網路釣魚頁面。
RaccoonO365 的 Adobe Acrobat 電子郵件包含「立即檢視」按鈕,將使用者導向至網路釣魚頁面。
RaccoonO365 網路釣魚電子郵件偽裝成 Maersk。PDF 中包含的文件帶有影像型連結,該連結會將使用者導向網路釣魚頁面。
基於 PDF 的 RaccoonO365 活動,其中 PDF 包含一個模糊的文件影像。按一下影像上的任意位置,都會將使用者導向至網路釣魚頁面。
RaccoonO365 活動,附有包含 QR 碼的 PDF 附件。掃描代碼會將使用者導向至網路釣魚頁面。
2. 人類驗證與偵測規避
當目標存取電子郵件、PDF 或 QR 碼中的惡意連結時,會被重新導向至由簡單的「我不是機器人」CAPTCHA 提供保護的登陸頁面,以進行人工驗證。
網路釣魚套件使用基本 CAPTCHA 頁面來封鎖自動化安全性工具,並限制人類目標的存取
在此階段,RaccoonO365 的指令碼還使用若干技術來阻止安全性研究人員和自動化系統,包括:
機器人偵測:執行多項檢查以識別並篩選掉自動化流量。
自動化檢查:專門尋找 WebDriver 等工具的存在,並分析瀏覽器的使用者代理。
瀏覽器指紋識別:使用畫布指紋識別等進階方法,來識別和封鎖分析環境。
反分析:主動停用開發人員工具的鍵盤快捷鍵,並停用瀏覽器的主控台以防止程式碼檢查。
3. 網路釣魚頁面
通過 CAPTCHA 和其他準則後,使用者會看到一個偽造的 Microsoft 365 登入頁面。RaccoonO365 平台提供各種工具來建立逼真的登入頁面,如下所示,模仿 Microsoft 365 服務,提高認證被盜的可能性。
在惡意網域上託管的 Microsoft 365 認證收集頁面
這部分攻擊鏈中的步驟包括:
認證和工作階段竊取:當受害者輸入他們的認證時,套件充當中間對手,將認證流程代理到 Microsoft 的伺服器,並允許攻擊者不僅擷取密碼,還會擷取產生的工作階段 Cookie,從而有效地繞過 MFA。
外流:一旦收集到洩露的資料,包括認證、Cookie、O365 檔案和機器規格,就會透過指令碼 URL 將資料外洩,而該 URL 將其直接傳送至指定的電子郵件地址。然而,他們的策略在七月左右發生了變化,也包括外流至 Telegram。
執行者工具組的能力
RaccoonO365 將其運作建置於合法的基礎架構之上,試圖避免被偵測。利用免費帳戶,他們策略性地部署了 Cloudflare Workers 作為中介層,保護後端網路釣魚伺服器,避免直接向公眾暴露。
RaccoonO365 的程式碼庫內部
RaccoonO365 惡意代碼旨在執行多項功能,包括:
反分析和規避:在請求被傳遞至實際的網路釣魚伺服器之前,Cloudflare Workers 指令碼會檢查請求,以確定其是來自安全性研究人員、自動化掃描程式還是沙箱。如果出現任何警示標記,則會斷��開連線,或者用戶端會收到錯誤訊息,從而有效地隱藏網路釣魚套件。
他們使用的規避策略包括:
使用者代理程式篩選:封鎖超過 18 個已知自動化分析工具、網路爬蟲和無頭瀏覽器的清單(例如,NetcraftSurveyAgent、Python-requests、Headless)。
安全供應商規避:主動封鎖來自至少 17 個主要安全服務基礎架構的連線,包括電子郵件閘道(如 Safelinks.protection.outlook.com 和 urldefense.proofpoint.com)。
網路層級封鎖:拒絕存取來自已知資料中心、特定 ISP、Tor 出口節點和虛假 IP(未分配的 IP 範圍)的請求。
標頭和 Referer 檢查:檢查 HTTP 標頭中的分析跡象,例如 Microsoft 的 SmartScreen 使用的 Origin 標頭。
動態流量路由:對於通過安全性檢查的請求,執行者的惡意指令碼還有第二個目的,即充當流量控制者。該指令碼從攻擊者的隱藏後端伺服器(例如,sharedsyncdriveforwork[.]com 和 sponsoredmetasocialtasks[.]vip)動態擷取並提供適當的網路釣魚內容,此外還提供以下�功能:
反向代理:指令碼隱藏了網路釣魚伺服器的真實 IP 位址,使其看起來像是來自 Cloudflare 的網路。對安全性分析師而言,初始連線看似終止於 Cloudflare,進而掩蓋了攻擊者的真實基礎架構。
觸發路徑邏輯:執行者在程式碼中嵌入了唯一變數作為「觸發路徑」,使他們能夠無縫地將流量重新導向至不同的網路釣魚活動,或透過修改單一變數來調整後端邏輯,而無需在程式碼中變更核心功能。
集中管理:這種架構讓執行者能夠以最少的開銷,協調大規模的網路釣魚運作。只需修改一小部分程式碼,他們就能快速傳播新的規避技術、更新路由邏輯或轉移整個活動,而無需重新部署或重新設定數十個獨立的網路釣魚套件。
演變與擴展
RaccoonO365 並非僅僅建立一個 Worker 然後放棄;而是不斷地維護、更新和擴展其部署,以支援持續的網路釣魚活動:
2024 年 10 月:活動發起
偵測到的最早活動是部署初始 JavaScript 網路釣魚活動
該運作從第一天起的主要目標就是認證盜竊,尤其是 Microsoft 365 商業版帳戶。這些早期套件構成基礎程式碼,並且會隨著時間的推移不斷完善。
2024 年 12 月:基礎架構部署
在第一個網路釣魚套件出現兩個月後,執行者進行了重大的策略性升級,部署了他們的第一個 Cloudflare Worker 叢集。
這標誌著從簡單的網路釣魚設定轉向複雜的雙層架構。攻擊者將此新 Worker 放置在現有網路釣魚套件的「前面」,立即使用路由和規避層為其提供保護。
2025 年初至年中:擴展與精進
執行者開始同時針對不同的受害者群體進行多項網路釣魚活動。
他們透過部署第二個和第三個 Cloudflare Worker 叢集(2025 年 3 月和 7 月)來擴展其基礎架構,每次迭代都納入了��改進的反分析功能以阻礙安全性調查。
在此期間,這些網路釣魚套件增強了各種功能,例如 CAPTCHA、改進的規避措施,以及更具詐欺性的重新導向至合法的 Microsoft 錯誤頁面。
2025 年中(7 月 - 8 月):複雜度尖峰
最後的主要演變是將即時資料外流方法(例如Telegram 機器人)直接整合至網路釣魚指令碼。這讓執行者能夠立即收到 MFA QR 碼和被盜認證,標誌著該運作能力達到頂峰。
RaccoonO365 平台更新
為了回應 Cloudflare 持續對其基礎架構的緩解措施,RaccoonO365 營運商使用其私人 Telegram 頻道發布了一系列「平台更新」,宣告「擺脫 Cloudflare」的策略性轉變。
早期的一項進度更新是為訂閱者推出全新的「迷你面板」,顯露出儘管他們的目標是獨立的,RaccoonO365 的新基礎架構仍打算部分依賴於 Cloudflare Workers。
RaccoonO365 遷移的進度更新宣布為訂閱者推出全新的「迷你面板」。
RaccoonO365 營運商隨後發布的「遷移更新」明確聲明其「使命是擺脫 Cloudflare」。該貼文詳細介紹了建置一個「完全獨立且堅不可摧」系統的技術計畫,以直接回應平台強制執行和搗毀工作。
RaccoonO365 的「遷移更新」表示其「使命是擺脫 Cloudflare」。
2025 年 9 月 5 日,在 Cloudflare 完成緩解工作後,RaccoonO365 團隊在 Telegram 上發布了公告,為其訂閱者重新闡述目前的狀況。他們將此次中斷描述為有計畫的服務「重生」,關閉了舊的「舊式連結」並將使用者引導至新的平台,以保留存取權 — 這顯然是藉由在新的基礎架構上重建其營運,以從業務中斷中復原並留住客戶群。
RaccoonO365 管理員宣布關閉「舊式連結」,並要求訂閱者遷移至新方案。
RacoonO365 搗毀工作的協調運作
我們的策略從被動回應演變為主動且協調一致的搗毀措施。
初始狀態:Cloudflare 的信任與安全團隊處理了個別濫用投訴,並在識別出 RaccoonO365 網域後進行緩解。隨著時間的推移,很明顯,需要更廣泛的協調運作來進一步搗毀執行者的整體效能。
合作:Microsoft 發起了法律行動,沒收了數百個 RaccoonO365 網域,而 Cloudflare 則採取措施停止我們平台上的所有 RaccoonO365 運作。我們與美國執法部門合作,協助改變了威脅行為者的運作軌跡。
基礎架構識別:使用註冊模式,我們能夠在我們的平台上全面對應執行者的整個基礎架構,包括網域和數十個 Worker 帳戶。
協同摧毀:2025 年 9 月上旬,Cloudflare 對 RaccoonO365 執行了一次「rugpull」。與 Microsoft 協調後,Cloudflare 摧毀工作的初始�階段於 2025 年 9 月 2 日開始,後續行動於 2025 年 9 月 3 日和 9 月 4 日進行。隨後,我們禁止所有識別的網域,並在其前放置插頁式「網路釣魚警告」頁面,終止關聯的 Workers 指令碼,並暫停使用者帳戶以防止重新註冊。
這一協調行動,結合 Microsoft 和美國執法部門的法律工作,旨在永久摧毀該組織在我們平台及其他平台上運作的能力。
活動時間表
建議
Cloudflare 建議執行以下步驟來緩解來自 PhaaS 運作(例如 RaccoonO365)的威脅。
電子郵件安全性控制措施
使用進階電子郵件安全性保護,在到達收件匣之前阻止詐欺。Cloudflare Email Security 可使用電子郵件偵測指紋 (EDF) 和量身定製的偵測即時偵測 PhaaS 電子郵件。
強制執行嚴格的附件和 URL 掃描(在傳送之前將可疑內容進行沙箱處理)。
啟用 DMARC、SPF 和 DKIM 並強制執行,以減少電子郵件詐欺。
身分與存取強化
強制使用防網路釣魚的 MFA(FIDO2/WebAuthn、智慧卡),而非基於 SMS/OTP 的 MFA,因為後者容易被 RaccoonO365 等 AiTM 套件繞過。
使用條件式存取原則(地理限制、裝置合規性、異常連線登入規則)。
定期輪換和稽核特權帳戶。
使用者意識與訓練
提供持續的網路釣魚模擬和訓練,以協助員工識別常見的誘餌(人力資源文件、發票、M365 登入提示)。
強調舉報而不是責備:讓使用者舉報可疑電子郵件變得輕鬆且有益。
Web 與端點防護
使用 DNS 篩選和安全 Web 閘道,來封鎖對新註冊網域和可疑網域的存取。
針對高風險類別(例如,財務、雲端生產力登入),善用瀏覽器隔離。
部署 EDR/XDR 以偵測網路釣魚後的活動(認證竊取、異常的瀏覽器行為)。
事件回應準備
自動偵測和撤銷被盜的工作階段 Cookie 和 OAuth 權杖。
擁有快速重設認證和帳戶復原的手冊。
測試回應程序以應對模擬的 AiTM 和網路釣魚活動。
供應商與 SaaS 安全性
與雲端和 SaaS 提供商合作,啟用對租用戶活動的持續監控。
啟用針對可疑的同意授權、OAuth 應用程式安裝或異常 API 存取的警示。
要求租用戶和第三方遵守防網路釣魚的身分�控制措施。
此外,我們還向所有組織(無論是否為 Cloudflare 客戶),免費提供電子郵件回溯掃描工具的存取權,讓他們能夠使用我們的預測 AI 模型來掃描現有的收件匣訊息。Retro Scan 將偵測並醒目顯示發現的任何威脅,讓組織能夠直接在電子郵件帳戶中補救這些威脅。藉助這些深入分析,組織可實作進一步的控制措施,無論是使用 Cloudflare Email Security 還是他們偏好的解決方案,以防止將來有類似的威脅到達他們的收件匣。
入侵指標 (IOC)
下表中列出的 RaccoonO365 網域清單包括該犯罪企業近期使用的一些基礎架構,但僅是 Cloudforce One 追蹤的非常長的指標清單中的一部分。若要進一步瞭解如何存取指標完整清單,以及其他可執行動作的環境背景資訊,請參閱我們向 Cloudforce One 客戶提供的威脅事件平台。
