در هفتههای اخیر، یکی از بزرگترین شبکههای فیشینگ با نام RaccoonO365 توسط نهادهای امنیتی بینالمللی شناسایی و خاموش شد. این شبکه طی سالها فعالیت، هزاران کاربر و سازمان را هدف قرار داده بود و از طریق ایمیلهای جعلی و دامنههای مخرب به سرقت اطلاعات ورود (Credentials) در سرویسهای Microsoft 365 میپرداخت. این اقدام میتواند نقطه عطفی در کاهش حملات فیشینگ علیه کاربران سازمانی به شمار رود.
فیشینگ (Phishing) چیست؟
فیشینگ نوعی حمله سایبری است که در آن مهاجم با جعل هویت سرویسها یا برندهای معتبر (مثل مایکروسافت، گوگل یا بانکها)، قربانی را فریب میدهد تا اطلاعات حساس خود مانند نام کاربری، رمز عبور یا دادههای بانکی را وارد کند. این حملات معمولاً از طریق:
✔️ ایمیلهای جعلی با لوگوی رسمی شرکتها
✔️ لینکهای مخرب در پیامک یا شبکههای اجتماعی
✔️ وبسایتهای مشابه (Fake Login Pages)
انجام میشود و یکی از شایعترین تهدیدات علیه سازمانهاست.
RaccoonO365 چه بود؟
شبکه RaccoonO365 یک عملیات گسترده فیشینگ بود که:
✔️ با ثبت صدها دامنه جعلی مشابه دامنههای مایکروسافت 365 فعالیت میکرد.
✔️ از روشهای Fileless و جاوااسکریپت مخرب برای پنهانسازی حملات بهره میبرد.
✔️ دادههای کاربران بهویژه نام کاربری و پسورد حسابهای سازمانی را سرقت میکرد.
✔️ مشتریان خود را در دارکوب میان مجرمان سایبری پیدا میکرد.
✔️ این شبکه عملاً به یک زیرساخت جنایی سایبری (Cybercrime-as-a-Service) تبدیل شده بود.
دلیل اهمیت
بسیاری از سازمانها در جهان از Microsoft 365 استفاده میکنند یا کاربرانشان به خدمات آن متصلاند. با توجه به اینکه RaccoonO365 دامنههای جعلی مشابه مایکروسافت داشت، کارمندان سازمانها نیز میتوانستند قربانی شوند. این نشان میدهد که آگاهی و آموزش کارکنان درباره فیشینگ اهمیت زیادی دارد.
🔍 اطلاعات تکمیلی درباره RaccoonO365
تعداد دامنهها و میزان نفوذ
✔️ مایکروسافت با حکم دادگاه تعداد ۳۳۸ دامنه مرتبط با RaccoonO365 را توقیف کرده است.
✔️ این پلتفرم تاکنون بیش از ۵ هزار Credential اکانت Microsoft 365 را از ۹۴ کشور جمعآوری کرده است.
هزینه و مدل تجاری
RaccoonO365✔️ به صورت یک PhaaS (Phishing-as-a-Service) عرضه شده است.
✔️ اشتراک ۳۰ روزه حدود ۳۵۵ دلار و اشتراک ۹۰ روزه تقریباً ۹۹۹ دلار قیمت داشته است.
✔️ حداقل ۱۰۰ تا ۲۰۰ اشتراک فروخته شدهاند و دستکم ۱۰۰ هزار دلار به صورت رمز ارز دریافت شده است.
هدفگیری صنایعی خاص و تاکتیکهای حمله
✔️ یکی از کمپینها به موضوعات مالیاتی (tax-themed phishing) مرتبط بوده و بیش از ۲٬۳۰۰ سازمان در ایالات متحده را هدف قرار داده است.
✔️ حداقل ۲۰ سازمان در بخش بهداشت (healthcare) در آمریکا نیز تحت تأثیر قرار گرفتهاند.
ویژگیهای فنی و روش اجرا
✔️ استفاده از دامنههای جعلی (typosquatted domains) و ایمیلهای تقلیدی از برندهای معتبر مانند Microsoft, DocuSign, Adobe, Maersk .
✔️ امکانات برای محدود کردن کشف شناسهها، شامل CAPTCHA (Cloudflare Turnstile)، ریدایرکت DOM، مخفیسازی ایمیل ارسالکننده از طریق حساب Microsoft 365 آلوده یا spoofed . توانایی ارسال تعداد زیادی ایمیل در روز (تا ۹٬۰۰۰ ایمیل هدف) برای مشترکین سرویس.
اشکالات و نقطه ضعفهایی که شناسایی شدهاند
✔️ چندین خطای عملیاتی توسط مهاجمان رخ داده، مثلاً افشای تصادفی آدرس کیف پول رمزنگاری (cryptocurrency wallet) که به ردیابی کمک کرد.
✔️ حتی با وجود روشهای پیشرفته، ارسال ایمیلها از حسابهای آسیبدیده Microsoft 365 به جای ایمیل جدید؛ استفاده از آدرسهای spoof یا compromised برای ارسال. این موارد باعث شده راهکارهای قانونی و فنی بتوانند شناسایی و عکسالعمل نشان دهند.
اقدامات بینالمللی قانونی و تکنیکی
✔️ مایکروسافت با حکم دادگاه منطقه جنوبی نیویورک (Southern District of New York) توانست دامنهها را توقیف کند و زیرساخت فنی مرتبط را از کار بیندازد.
✔️ همکاری با Cloudflare برای بستن دامنهها، متوقف کردن اسکریپتهای مرتبط و حسابهای کاربری متصل.
راهکارهای مقابله با حملات مشابه
- استفاده از MFA (احراز هویت چندمرحلهای) برای حسابهای سازمانی
- آموزش کاربران برای تشخیص ایمیلها و لینکهای مشکوک
- استفاده از فیلترهای ضد فیشینگ در ایمیل سرورها
- مانیتورینگ لاگها با ابزارهایی مانند Splunk یا SIEM برای کشف لاگینهای غیرعادی
- بهروزرسانی مداوم مرورگر و سیستم عامل
جمعبندی
خاموش شدن شبکه RaccoonO365 یک موفقیت بزرگ برای جامعه امنیت سایبری است، اما پایان کار فیشینگ نیست. مهاجمان همواره با روشهای جدیدتری برمیگردند. سازمانها باید هوشیاری، آموزش و ابزارهای امنیتی مدرن را جدی بگیرند.
