{"id":315826,"date":"2025-09-17T13:55:35","date_gmt":"2025-09-17T11:55:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315826"},"modified":"2025-09-17T14:05:40","modified_gmt":"2025-09-17T12:05:40","slug":"cloudflare-und-microsoft-zerschlagen-raccoono365-trojaner-infrastruktur","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/17\/cloudflare-und-microsoft-zerschlagen-raccoono365-trojaner-infrastruktur\/","title":{"rendered":"Cloudflare und Microsoft zerschlagen RaccoonO365-Trojaner-Infrastruktur"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Cloudflare und Microsoft ist es wohl gelungen, die Infrastruktur eines globalen Phishing-Imperium\u00a0 zu zerschlagen. Die Unternehmen konnten 338 gef\u00e4lschte Domains, die mit dem \"RaccoonO365\"-Trojaner in Verbindung stehen, in einer koordinierten Aktion beschlagnahmen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/d9e07baaad854b598e559e064d9b3269\" alt=\"\" width=\"1\" height=\"1\" \/>Bei RaccoonO365 handelt es sich um ein Phishing-as-a-Service-Angebot, das f\u00fcr 355 US-Dollar pro Monat gebucht werden konnte, wie The Hacker News in nachfolgendem Tweet offen legt.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/x8FPrJN6\/image.png\" alt=\"RaccoonO365 seized\" width=\"488\" height=\"476\" \/><\/p>\n<p>Der prim\u00e4re Angriffsvektor der Kampagne waren Phishing-Kits, die darauf ausgelegt waren, Anmeldedaten f\u00fcr Microsoft 365 zu stehlen. Die Kits verwendeten eine einfache CAPTCHA-Seite und Anti-Bot-Techniken, um Analysen zu umgehen und f\u00fcr die Opfer legitim zu erscheinen. Laut obigem Tweet gelang es den Cyberkriminellen\u00a0mehr als 5.000 Microsoft 365-Passw\u00f6rter in 94 L\u00e4ndern zu stehlen.<\/p>\n<p>Das ultimative Ziel des Angreifers bestand laut <a href=\"https:\/\/www.cloudflare.com\/de-de\/threat-intelligence\/research\/report\/cloudflare-participates-in-global-operation-to-disrupt-raccoono365\/\" target=\"_blank\" rel=\"noopener\">dieser Cloudflare-Mitteilung<\/a> darin, Abonnenten des Phishing-Diensts gestohlene Anmeldedaten, Cookies und Daten aus Opferkonten (einschlie\u00dflich OneDrive, SharePoint und E-Mail) zur Verf\u00fcgung zu stellen, die dann f\u00fcr Finanzbetrug, Erpressung oder als Einstieg f\u00fcr gr\u00f6\u00dfere Angriffe genutzt werden konnten.<\/p>\n<p>Anfang September 2025 f\u00fchrte Cloudflare, in Partnerschaft mit Microsoft, Ma\u00dfnahmen zur Verhinderung dieses Phishing-Missbrauchs der Cloudflare-Dienste durch. Dabei erfolgte eine koordinierte Sperrung von Hunderten von Domains und Worker-Konten, die mit dem Akteur RaccoonO365 in Verbindung standen. Diese Ma\u00dfnahme, die die Infrastruktur der Gruppe zerschlagen oder stark beeintr\u00e4chtigt haben muss, wurde in Abstimmung mit den umfassenderen Bem\u00fchungen von Microsoft im Rahmen einer Ende August eingereichten Zivilklage ergriffen.<\/p>\n<p>Technische Details zu den TTPs des Akteurs, den Cloudflare-Abwehrstrategie und den Indikatoren f\u00fcr Kompromittierung (IOCs) finden sich in <a href=\"https:\/\/www.cloudflare.com\/de-de\/threat-intelligence\/research\/report\/cloudflare-participates-in-global-operation-to-disrupt-raccoono365\/\" target=\"_blank\" rel=\"noopener\">diesem Cloudflare-Bericht<\/a>. Microsoft berichtet \u00fcber den Schlag gegen dieses Netzwerk in <a href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2025\/09\/16\/microsoft-seizes-338-websites-to-disrupt-rapidly-growing-raccoono365-phishing-service\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a>.<\/p>\n<p>Microsofts Digital Crimes Unit (DCU) lie\u00df die Infrastruktur von RaccoonO365 (intern als als Storm-2246 bezeichnet) auf Grund einer gerichtlichen Anordnung des Southern District of New York beschlagnahmen. Dabei wurden 338 Websites, die dieses kriminelle Netzwerk benutzte, still gelegt. Microsoft gibt sich \u00fcberzeugt, dass dadurch die technische Infrastruktur der Operators lahmgelegt und den Cyberkriminellen der Zugang zu ihren Opfern versperrt wurde.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cloudflare und Microsoft ist es wohl gelungen, die Infrastruktur eines globalen Phishing-Imperium\u00a0 zu zerschlagen. Die Unternehmen konnten 338 gef\u00e4lschte Domains, die mit dem \"RaccoonO365\"-Trojaner in Verbindung stehen, in einer koordinierten Aktion beschlagnahmen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,7377,4328],"class_list":["post-315826","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-microsoft-365","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315826","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=315826"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315826\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=315826"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=315826"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=315826"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}