【安全圈】RaccoonO365 网络钓鱼平台被微软与 Cloudflare 联手摧毁 ...

微软数字犯罪部门（DCU）近日宣布，与 Cloudflare 协作，通过纽约南区法院的授权，成功查封了 338 个与 RaccoonO365 相关的域名。该行动切断了这一“钓鱼即服务”（Phishing-as-a-Service, PhaaS）平台的基础设施，阻止了攻击者继续利用其工具窃取凭证。

自 2024 年 7 月以来，RaccoonO365 已被用于在 94 个国家窃取逾 5,000 份 Microsoft 365 凭证，其影响范围极广。

RaccoonO365 的运作模式

• 服务订阅化：按月或季度出售，30 天约 355 美元，90 天约 999 美元。订阅者无需高深技术，即可批量发动钓鱼攻击。

• 攻击手法：常冒充 Microsoft、DocuSign、SharePoint、Adobe、马士基等品牌，通过伪造邮件引导用户访问仿冒页面，窃取账户密码。

• 绕过检测：滥用 Cloudflare 的 Turnstile 验证与 Workers 脚本，实现对自动化分析与防御系统的规避，仅允许预设目标访问钓鱼页面。

• 攻击规模：用户每天可输入多达 9,000 个目标邮箱地址，部分攻击甚至可绕过多因素认证（MFA）。

• 微软将该威胁组织跟踪编号为 Storm-2246，并指出其近期还推出了 AI 驱动的新服务“AI-MailCheck”，旨在提升钓鱼活动的规模化与智能化。

  执法与归因

  行动初期，Cloudflare 于 2025 年 9 月 2 日开始封禁相关域名，并在其上加设“钓鱼警告”页面，同时终止关联的 Workers 脚本与用户账号。到 9 月 8 日，整体清理行动完成。

  微软调查发现，该组织的主谋被锁定为 尼日利亚籍人员 Joshua Ogundipe。由于操作失误，其加密货币钱包信息被暴露，最终导致身份被追踪。RaccoonO365 在 Telegram 上拥有约 850 名成员，累计收取超过 10 万美元加密货币。

  对安全防御的启示

  • 大规模联动打击：此次行动标志着从单一域名的被动处置，转向 主动、大规模摧毁整个基础设施，显著增加了攻击者的运营成本。

  • PhaaS 模式扩散：攻击工具商品化、订阅化趋势明显，使得缺乏技术的个人也能快速发动攻击，进一步扩大了受害面。

  • AI 技术滥用：RaccoonO365 已尝试将 AI 融入钓鱼活动，预示未来攻击会更具欺骗性和自动化。

  总结

  RaccoonO365 的案例表明，网络犯罪无需复杂手法也能产生巨大破坏力。钓鱼即服务的盛行，使威胁门槛显著降低。微软与 Cloudflare 的联合行动，不仅在技术上打击了该组织的运营体系，也向其他潜在攻击者释放了强烈的威慑信号。