Nigeria aresztuje twórcę platformy phishingowej Raccoon0365/RaccoonO365 wymierzonej w Microsoft 365

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja luki

Aresztowanie w Nigerii osoby podejrzewanej o tworzenie i rozwijanie zestawu phishingowego wymierzonego w Microsoft 365 to istotny sygnał: phishing-as-a-service (PhaaS) dojrzał do poziomu „produktów” sprzedawanych w modelu subskrypcyjnym, z obsługą klienta, automatyzacją kampanii i technikami obchodzenia MFA. W tym przypadku mowa o ekosystemie znanym jako Raccoon0365 / RaccoonO365, wykorzystywanym do przejmowania kont M365 i eskalacji do BEC (Business Email Compromise) oraz naruszeń danych.

W skrócie

  • Nigeryjskie służby zatrzymały trzy osoby w związku z operacją phishingową uderzającą w Microsoft 365; jako kluczowego podejrzanego wskazano Okitipi Samuel (alias m.in. “Moses Felix” / “RaccoonO365”).
  • Według komunikowanych danych, narzędzia RaccoonO365 miały posłużyć do kradzieży co najmniej 5 000 poświadczeń w 94 krajach (od lipca 2024 r.).
  • We wrześniu 2025 r. Microsoft (we współpracy z partnerami) przejął/zablokował 338 domen powiązanych z infrastrukturą RaccoonO365/Raccoon0365.
  • Model biznesowy: sprzedaż przez Telegram, płatności w kryptowalutach, ceny rzędu ~355 USD/30 dni oraz ~999 USD/90 dni.

Kontekst / historia / powiązania

Skąd się wziął RaccoonO365?

Microsoft opisał RaccoonO365 jako gwałtownie rosnący „pakiet” phishingowy sprzedawany subskrypcyjnie i śledzony jako Storm-2246. Kluczowa cecha: zestawy pozwalały tworzyć przekonujące strony logowania i materiały podszywające się pod Microsoft i inne marki, aby wyłudzać dane dostępowe do kont M365.

Takedown infrastruktury (wrzesień 2025)

We wrześniu 2025 r. Microsoft informował o działaniach prawnych i technicznych prowadzących do przejęcia setek domen powiązanych z usługą (Reuters pisał o „prawie 340” witrynach, Microsoft podawał 338).

Aresztowania (doniesienia z grudnia 2025)

Według relacji z działań nigeryjskiego National Cybercrime Centre, przeprowadzono naloty w stanach Lagos i Edo, zatrzymując trzy osoby — z czego dwie miały nie być bezpośrednio powiązane z „rdzeniem” operacji, a Okitipi Samuel został wskazany jako osoba istotna dla rozwoju infrastruktury phishingowej.

Wątek „kto był liderem?”

Warto odnotować rozbieżność: wcześniejsze materiały o RaccoonO365 wskazywały jako domniemanego lidera Joshuy Ogundipe (m.in. w kontekście działań prawnych i przejęć domen), podczas gdy komunikacja o aresztowaniach w Nigerii akcentuje rolę Okitipi Samuel i nie zawsze wymienia Ogundipe. To może oznaczać podział ról (lider/organizator vs. deweloper/operator infrastruktury) albo niepełny obraz ujawniany publicznie na etapie postępowania.

Analiza techniczna / szczegóły ataku

RaccoonO365/Raccoon0365 wpisuje się w nową falę PhaaS, gdzie „klient” (cyberprzestępca) kupuje gotowy zestaw i uruchamia kampanie bez budowania infrastruktury od zera.

Typowy łańcuch ataku

Z opisów ekosystemu wynika następujący schemat:

  1. Wiadomość phishingowa podszywająca się pod dokument biznesowy, fakturę, plik w SharePoint/OneDrive, podpis elektroniczny itp.
  2. Często w treści: załącznik, link lub kod QR, kierujący na stronę pośrednią.
  3. Warstwa „uwiarygodnienia” i filtrów anty-bot: strona z CAPTCHA (w praktyce tego typu kampanie bywały kojarzone z rozwiązaniami Cloudflare).
  4. Finalnie: fałszywa strona logowania Microsoft 365, która wyłudza poświadczenia.

Dlaczego MFA nie zawsze ratuje?

W istotnej części nowoczesnych zestawów PhaaS (w tym opisywanych przy RaccoonO365) pojawia się mechanika adversary-in-the-middle (AiTM): ofiara loguje się „przez” serwer pośredniczący kontrolowany przez atakującego, a napastnik przechwytuje nie tylko hasło, ale też cookie sesyjne po poprawnym uwierzytelnieniu — co praktycznie pozwala ominąć MFA na danej sesji.

Automatyzacja i skala

Microsoft wskazywał, iż „klienci” usługi mogli wprowadzać tysiące adresów dziennie jako cele kampanii, a sama usługa była szeroko używana globalnie (94 kraje, co najmniej 5 000 poświadczeń).

Kanały dystrybucji, płatności i „operacje”

Zatrzymany podejrzany miał prowadzić kanał na Telegramie, sprzedając zestawy w kryptowalutach, a strony phishingowe hostować m.in. z wykorzystaniem kont i zasobów powiązanych z Cloudflare (w tym kont zakładanych na dane/poświadczenia pozyskane nielegalnie).
Cennik publikowany w opisach tej operacji to rząd wielkości ~355 USD za 30 dni i ~999 USD za 90 dni (w zależności od „planu”).

Praktyczne konsekwencje / ryzyko

Przejęcie konta Microsoft 365 to często dopiero początek:

  • BEC (Business Email Compromise): zmiana danych do płatności, fałszywe faktury, podszycia pod zarząd/księgowość, przejęcia wątków mailowych.
  • Dalsze phishingi „z wewnątrz” (internal phishing) – maile wysyłane z legalnych skrzynek, trudniejsze do odfiltrowania.
  • Eksfiltracja danych z Exchange/SharePoint/OneDrive, ryzyko naruszenia tajemnic handlowych i danych osobowych.
  • Wektor wejścia do ransomware: w praktyce phishing/AiTM + przejęcie tożsamości bywa etapem inicjalnym łańcucha ataku.

Rekomendacje operacyjne / co zrobić teraz

Poniżej lista działań, które realnie podnoszą odporność organizacji na kampanie typu RaccoonO365 (zwłaszcza AiTM).

1) Zmień podejście do MFA: „phishing-resistant”

  • Priorytetem są metody odporne na AiTM: FIDO2 / passkeys, ewentualnie certyfikaty. Same kody SMS/TOTP nie rozwiązują problemu przechwytywania sesji.

2) Ogranicz ryzyko przejęcia sesji

  • W Microsoft 365/Azure AD: stosuj Conditional Access (np. wymaganie zgodnego urządzenia, lokalizacji, poziomu ryzyka logowania), oraz skracaj czas życia sesji tam, gdzie to ma sens operacyjny.
  • Monitoruj anomalie: nowe urządzenia, nietypowe lokalizacje, skoki geograficzne, nietypowe user-agent, logowania poza godzinami.

3) Wzmocnij pocztę (warstwa „przed kliknięciem”)

  • DMARC/DKIM/SPF (redukcja podszywania się pod domeny).
  • Blokada lub ostrzeganie przed QR w załącznikach (gdy Twój profil ryzyka to uzasadnia).
  • Wykrywanie kampanii z CAPTCHA + szybkim przekierowaniem na login M365 (częsty wzorzec).

4) Szybka reakcja, jeżeli podejrzewasz kompromitację

  • Natychmiast unieważnij sesje (sign-out), wymuś reset hasła, sprawdź reguły przekierowań/forwarding, ukryte inbox rules i delegacje skrzynki.
  • Przejrzyj logi logowań oraz dostęp do plików (SharePoint/OneDrive).
  • Zweryfikuj aplikacje OAuth/zgody (czy nie dodano podejrzanej integracji).

5) Zrób „polowanie” na BEC

  • Szukaj zmian w danych kontrahentów, zmian numerów kont w stopkach i szablonach, podejrzanych reguł w skrzynkach finansów/CEO/księgowości.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

RaccoonO365 jest dobrym przykładem trendu, w którym phishing przestaje być „jednorazową stroną” i staje się usługą przypominającą SaaS:

  • W porównaniu do prostych kitów: tutaj istotna jest automatyzacja i „obsługa” (subskrypcje, kanały dystrybucji, aktualizacje).
  • Podobnie jak inne AiTM-kity: najważniejsze ryzyko to przechwycenie cookie sesyjnego i obejście MFA, co wymusza przejście na silniejsze metody uwierzytelniania oraz kontrolę warunkową dostępu.

Podsumowanie / najważniejsze wnioski

  • Aresztowania w Nigerii pokazują, iż PhaaS dla Microsoft 365 stał się na tyle „produktem”, iż jego twórcy/operatorzy zaczynają być namierzani nie tylko przez branżę, ale i przez organy ścigania.
  • Skala (5 000+ poświadczeń, 94 kraje) oraz model subskrypcyjny (Telegram + krypto) potwierdzają, iż phishing to dziś systemowy, powtarzalny biznes.
  • Dla obrony najważniejsze jest założenie, iż „MFA to nie wszystko” — przy AiTM potrzebujesz phishing-resistant MFA + Conditional Access + dobrego monitoringu tożsamości i poczty.

Źródła / bibliografia

  1. BleepingComputer – informacje o aresztowaniach i powiązaniu podejrzanego z Raccoon0365/RaccoonO365. (BleepingComputer)
  2. Microsoft On the Issues – opis RaccoonO365 (Storm-2246), skala, charakterystyka, przejęcie domen. (The Official Microsoft Blog)
  3. Reuters – kontekst prawny i liczby dot. przejęcia domen oraz skali operacji. (Reuters)
  4. The Record (Recorded Future News) – dodatkowe szczegóły nalotów i aresztowań, mechanika kampanii (QR/CAPTCHA), wątek współpracy międzynarodowej. (The Record from Recorded Future)
  5. Help Net Security – opis mechaniki bypassu MFA (AiTM, przechwytywanie cookie) i modelu subskrypcji. (Help Net Security)
Idź do oryginalnego materiału
  1. Strona główna
  2. Oszustwa
  3. Nigeria aresztuje twórcę platformy phishingowej Raccoon0365/RaccoonO365 wymierzonej w Microsoft 365

Powiązane

Microsoft 365 na celowniku: fala phishingu OAuth z wykorzystaniem „device code”

Microsoft 365 na celowniku: fala phishingu OAuth z wykorzyst...

1 dzień temu
Twoje punkty niedługo stracą ważność - fałszywe SMS-y o punktach Plus zalewają Polaków przed świętami 2025

Twoje punkty niedługo stracą ważność - fałszywe SMS-y o punk...

2 dni temu
Włamanie do polskiego systemu KWHotel. Dane gości mogą być wykorzystywane w atakach phishingowych

Włamanie do polskiego systemu KWHotel. Dane gości mogą być w...

2 dni temu
MBank wydał ostrzeżenie dla klientów. Na nowy atak łatwo się nabrać

MBank wydał ostrzeżenie dla klientów. Na nowy atak łatwo się...

2 dni temu
Amazon ostrzega przed trwającą kampanią cryptominingu wykorzystującą przejęte konta AWS

Amazon ostrzega przed trwającą kampanią cryptominingu wykorz...

3 dni temu
Analiza przekierowań URL w e-mailach przy pomocy KQL

Analiza przekierowań URL w e-mailach przy pomocy KQL

5 dni temu
Tankowce zawracają. Atak hakerski, działania floty podcinają eksport naftowy całego kraju. Nowa blokada morska?

Tankowce zawracają. Atak hakerski, działania floty podcinają...

5 dni temu
SII poleca: webinar KNF „Najnowsze sposoby działania cyberoszustów – czyli jak nie dać się okraść w Internecie” (Newsroom)

SII poleca: webinar KNF „Najnowsze sposoby działania cyberos...

6 dni temu