Cloudflare und Microsoft zerschlagen RaccoonO365-Trojaner-Infrastruktur

Veröffentlicht am 17. September 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Cloudflare und Microsoft ist es wohl gelungen, die Infrastruktur eines globalen Phishing-Imperium  zu zerschlagen. Die Unternehmen konnten 338 gefälschte Domains, die mit dem "RaccoonO365"-Trojaner in Verbindung stehen, in einer koordinierten Aktion beschlagnahmen.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Bei RaccoonO365 handelt es sich um ein Phishing-as-a-Service-Angebot, das für 355 US-Dollar pro Monat gebucht werden konnte, wie The Hacker News in nachfolgendem Tweet offen legt.

RaccoonO365 seized

Der primäre Angriffsvektor der Kampagne waren Phishing-Kits, die darauf ausgelegt waren, Anmeldedaten für Microsoft 365 zu stehlen. Die Kits verwendeten eine einfache CAPTCHA-Seite und Anti-Bot-Techniken, um Analysen zu umgehen und für die Opfer legitim zu erscheinen. Laut obigem Tweet gelang es den Cyberkriminellen mehr als 5.000 Microsoft 365-Passwörter in 94 Ländern zu stehlen.

Das ultimative Ziel des Angreifers bestand laut dieser Cloudflare-Mitteilung darin, Abonnenten des Phishing-Diensts gestohlene Anmeldedaten, Cookies und Daten aus Opferkonten (einschließlich OneDrive, SharePoint und E-Mail) zur Verfügung zu stellen, die dann für Finanzbetrug, Erpressung oder als Einstieg für größere Angriffe genutzt werden konnten.

Anfang September 2025 führte Cloudflare, in Partnerschaft mit Microsoft, Maßnahmen zur Verhinderung dieses Phishing-Missbrauchs der Cloudflare-Dienste durch. Dabei erfolgte eine koordinierte Sperrung von Hunderten von Domains und Worker-Konten, die mit dem Akteur RaccoonO365 in Verbindung standen. Diese Maßnahme, die die Infrastruktur der Gruppe zerschlagen oder stark beeinträchtigt haben muss, wurde in Abstimmung mit den umfassenderen Bemühungen von Microsoft im Rahmen einer Ende August eingereichten Zivilklage ergriffen.

Technische Details zu den TTPs des Akteurs, den Cloudflare-Abwehrstrategie und den Indikatoren für Kompromittierung (IOCs) finden sich in diesem Cloudflare-Bericht. Microsoft berichtet über den Schlag gegen dieses Netzwerk in diesem Beitrag.

Microsofts Digital Crimes Unit (DCU) ließ die Infrastruktur von RaccoonO365 (intern als als Storm-2246 bezeichnet) auf Grund einer gerichtlichen Anordnung des Southern District of New York beschlagnahmen. Dabei wurden 338 Websites, die dieses kriminelle Netzwerk benutzte, still gelegt. Microsoft gibt sich überzeugt, dass dadurch die technische Infrastruktur der Operators lahmgelegt und den Cyberkriminellen der Zugang zu ihren Opfern versperrt wurde.

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Cloudflare und Microsoft zerschlagen RaccoonO365-Trojaner-Infrastruktur

  1. Tom sagt:
    17. September 2025 um 14:26 Uhr

    "RaccoonO366 (intern als Storm-2247 bezeichnet)" steht wohl schon bereit…

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.