Cloudflare и Microsoft объединились для ликвидации масштабной фишинговой платформы RaccoonO365

RaccoonO365 - это финансовая киберпреступная группировка, которая с июля 2024 года занималась кражей учётных данных пользователей Microsoft 365. По данным Microsoft, в результате их деятельности было скомпрометировано не менее 5000 учётных записей в 94 странах. Группа действовала по модели подписки, предлагая своим клиентам через Telegram-канал готовые инструменты для проведения фишинговых атак. Стоимость подписки варьировалась: 30 дней обходились в $355, а 90 дней - в $999. Оплата принималась исключительно в криптовалюте.

Атака строилась по многоэтапной схеме. Жертвы получали письма, маскирующиеся под сообщения от доверенных брендов, таких как DocuSign, Adobe или Maersk. Вложения содержали вредоносные ссылки или QR-коды, ведущие на поддельные страницы входа в Microsoft 365. Для усложнения детектирования злоумышленники использовали CAPTCHA, а также ряд методов противодействия анализу: проверку пользовательского агента, блокировку известных IP-адресов систем безопасности, анализ заголовков HTTP и даже отпечаток канваса (canvas fingerprinting).

После прохождения проверки жертва попадала на фишинговую страницу, где вводила свои учётные данные. RaccoonO365 использовала технику «злоумышленник посередине» (adversary-in-the-middle), что позволяло перехватывать не только логины и пароли, но и сессионные куки, эффективно обходя многофакторную аутентификацию (MFA). Скомпрометированные данные передавались через скрипты на электронную почту или в Telegram.

Особенностью группы стало активное использование легитимных сервисов, в частности бесплатных учётных записей Cloudflare Workers, для маскировки своей инфраструктуры. Это позволяло скрывать реальное расположение фишинговых серверов и централизованно управлять трафиком. Со временем функциональность платформы расширялась: в июле 2025 года появилась возможность отправки данных прямо в Telegram, что значительно ускорило получение доступа к учетным записям.

Ответные меры со стороны Cloudflare и Microsoft были скоординированы и включали как техническое, так и юридическое воздействие. В конце августа Microsoft подала гражданский иск, а в начале сентября Cloudflare провела масштабную операцию по отключению сотен доменов и учётных записей Worker, связанных с RaccoonO365. На места фишинговых страниц были установлены предупреждения о мошенничестве, а аккаунты злоумышленников заблокированы.

Группа пыталась адаптироваться к действиям защитников. В своих Telegram-каналах организаторы сообщали о «миграции» и создании полностью независимой инфраструктуры, однако их попытки продолжить деятельность были пресечены. По данным расследования, лидером группировки является Джошуа Огундипе (Нигерия), также есть указания на участие русскоязычных киберпреступников.

Противодействие RaccoonO365 демонстрирует растущую важность межкорпоративного и международного сотрудничества в борьбе с киберпреступностью. Координированные действия позволяют не только нарушить операционную деятельность злоумышленников, но и существенно повысить их затраты на восстановление инфраструктуры, что в долгосрочной перспективе снижает привлекательность подобного противоправного бизнеса.

Domains

• 1drvmscloud-acrbatadbfls.com
• actwillis.com
• adriot.org
• andersnelab.com
• app-explorer-dashboard.com
• appletheseed.workers.dev
• application-document.com
• authenticate-hydromedicional.com
• basiceschromeedomezonners.com
• bgailin.net
• boards-descriptions.com
• boardsmartrecruits.com
• bravoservicesnc.com
• burohapopld.com
• cloufdtf.com
• cyberdnsraven.com
• cyberspiderregistry.com
• docdrivecloudstorage.com
• docdrive-remittance.com
• doc-edelivery.com
• docsanduploadpreview.com
• dreambig1.workers.dev
• dropviewfolder.com
• easylifestyle004.workers.dev
• ecloudrunfiles.com
• eidnfilecloud.com
• eviewxxoofriend.workers.dev
• executive-recruitment-dashboard.com
• exerecruitment-dashboard.online
• fileso365clloudoccs.com
• fileso365clloudoss.com
• filesoo365cloudocxs.com
• filoonlinemaulling.com
• gboo4gboo.workers.dev
• get-pdf-bcd08-db403b574-0eba0513b-053e6-app.online
• gloglo12.workers.dev
• godwhenabego.workers.dev
• gregorywizfriend.workers.dev
• hen0148.workers.dev
• hspincsd.com
• insplredthinking.group
• kevinmor.workers.dev
• kevinmorredirects.workers.dev
• keymedla.com
• kindlyrviewdoc.nl
• lawsent.com
• livinsie.com
• lxkvt.com
• machavellii.workers.dev
• man-ex.com
• microcloudfiles.com
• microcloudfilesstorage.com
• microcloudfilestorage.com
• microsoftadmiin.com
• microsoft-clouds-onlines.com
• myskylinkdouble.workers.dev
• nextproject2025.com
• nuw0rk.workers.dev
• o365clouddocsstorage.com
• o365cloudfilesdocs.com
• o365cloudfilesstoragedcs.com
• o365efilecloud.com
• o365microsoftsecurecloud.com
• o365securecloudfilesdrive.com
• obs3rv3r-1x1.workers.dev
• officefilecloudoc.com
• officefiledrivecloud.com
• officenotedrivecloud.com
• onlineboardminutes.com
• onlinememoffsecured.com
• onlyoneghost.workers.dev
• orionhatch.autos
• polepole21.workers.dev
• presido5g.workers.dev
• prestigemetall.com
• priorityclouddrive365files.com
• prioritysdenvers.com
• quantexagroup.autos
• reidnfilescloud.com
• secure-acrbtadbeonlinedocs.com
• securedocumentsmicrocloudsdrivestorage.com
• sharedcloudrive.com
• shared-document-onboarding.icu
• share-onboarding.icu
• smartboardproposal.com
• smart-pdf-53e6f9-0cd69-df8a0.online
• soskuns.org
• speechmorphin.com
• ssecurefilessharedfolders-rudebenediktkernduca.com
• thisusernameisnotactive.workers.dev
• triistrux.com
• triumphsic.org
• tylxv.com
• voicemailfilerecordingswav.com
• w0rstdayofmylife.workers.dev
• winredirect.com
• worker1800.workers.dev
• yfful.com
• you-never-walk-alone009friend.workers.dev
• zeezee196112.workers.dev

Cryptocurrency Addresses

• bc1qjtlzug5wu7ag8yskn5h2xjd27uetq5cc4sahh5
• TBB5T28b9n2SK8shXb9oq867EcsNE5dZie
• 0xf5C2E3749F332175D94C7de7bf7AA8d679E460B7

Email Detection Fingerprints (EDF)

• DocuSign impersonation - 4817b89af1adcdf299012ef0dd73ad739c46:c9c1316fe0e7d62d6f959980e4c0
• Adobe impersonation - 09dc90983691333d2903e853e74af1f727c5:5f41ed9eb791e93b2a9fc0f9fa9a
• Spam -75f6b88324dd42cb7c0e8ac01021e7473c29:4cd9960e19306c4118280d3bf9b7
• Sharepoint impersonation - 352c56d80f8d33dbd5badd76e1db232d4fb3:2f94244a05ad1a62e4b581feb164
• PDF/QR Code campaign - 1edde07d2fd6a4eb1d75dec3f2b459096dce:59bf65ac5f3453a2e8078073c746
• Spam Campaign - 7b2241b4e939154324fb28ee2311f0928427:dc3de898a2c9761aeb363daacf8c
• PDF/QR Code campaign - 762ff304400deda7c337be0ff47c4ee9bfa9:59bf65ac5f3453a2e8078073c746
• Maersk Brand Impersonation - 188840ef9097c04efbd696d5483a96b74de5:352d17f408ebb3e4309361d5df39
• Generic Document credphish - 2e3f46bfd3f3c19fda86f314878cb869313e:78797c94e463ba48f2760e132420
• PDF based malicious link - d2654ba2b1d0c57a080a839d1dbbdd985626:36b12f90839be5817ab111ad3356
• Generic Document credphish - fe0881daca258fc8b6022794b0ee19dba070:7fd02d083763eede9026370e44e8
• BEC campaign - 8c7c9e0db1c302e0992cc17289ddd7614af3:6442e0401022f46d4a588c75f48c
• Zoom branded credphish - cb4f2ff64918ada35248f23db2f00a65012c:9dcd7e01f20447e6f867b53c3ac2