微软联手全球力量查封338个钓鱼网站成功阻击“RaccoonO365”网络黑产

最新推荐文章于 2025-12-03 10:49:58 发布

原创最新推荐文章于 2025-12-03 10:49:58 发布 · 333 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#php #开发语言 #人工智能 #安全 #网络

公共互联网反网络钓鱼专栏收录该内容

479 篇文章

订阅专栏

一场无声的网络攻防战刚刚落下帷幕。科技巨头微软近日宣布，已成功通过法律与技术手段，查封并接管全球范围内338个与“RaccoonO365”网络钓鱼服务相关的恶意域名。这一行动标志着全球网络安全防线对“钓鱼即服务”（Phishing-as-a-Service, PhaaS）这一新型犯罪模式的有力反击。

“RaccoonO365”并非传统意义上的单一黑客团伙，而是一个高度组织化、模块化的网络犯罪服务平台。它以“租赁”模式向初级攻击者提供全套钓鱼工具，让不具备专业技术的网络罪犯也能轻松发起针对企业用户的精准攻击。其主要目标，正是全球广泛使用的Microsoft 365办公系统。

“钓鱼即服务”：网络黑产的“工业化流水线”

据微软威胁情报团队披露，“RaccoonO365”平台允许攻击者通过自动化模板快速生成高度仿真的Microsoft 365登录页面。这些页面在视觉上几乎与真实登录界面无异，甚至能模拟多因素认证（MFA）流程，诱导用户输入账号密码及会话令牌。

“这就像网络犯罪界的‘SaaS’（软件即服务），”微软安全专家在博客中形容，“攻击者无需懂代码，只需支付少量费用，就能租用整套钓鱼工具包，包括域名、页面模板、数据收集后台，甚至客户支持。”

更令人担忧的是，该服务支持“地理定向”功能。攻击者可根据目标企业所在国家或地区，自动切换页面语言、时区甚至本地品牌元素，大幅提升欺骗成功率。例如，一封看似来自“公司IT部门”的邮件，标题可能是“紧急：您的共享文件已被锁定，请立即登录恢复”或“您的账户密码即将过期”，配合紧迫语境，极易让人在慌乱中点击链接。

公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示：“‘RaccoonO365’代表了当前网络钓鱼攻击的‘工业化’趋势。过去，钓鱼需要黑客自己搭建环境、设计页面、管理服务器；现在，一切都可以‘即插即用’。这大大降低了犯罪门槛，导致攻击数量呈指数级增长。”

攻击链条揭秘：从钓鱼到企业内网渗透

一旦用户在伪造页面上输入凭证，攻击者不仅能获取账号密码，还能窃取浏览器中的会话令牌（Session Token）。这意味着，即使用户启用了多因素认证，攻击者仍可绕过验证，直接以合法身份登录系统。

“会话令牌相当于你已经通过安检后拿到的登机牌，”芦笛解释道，“黑客偷走这张‘登机牌’，就能直接进入系统，而不需要再次验证指纹或短信验证码。”

凭借这些权限，攻击者可进一步在企业内网中横向移动，访问敏感文件、监控邮件往来，甚至发起“商业邮件欺诈”（BEC），冒充高管指令财务转账。微软透露，已有金融、专业服务及政府承包商等行业成为主要受害者，部分案件涉及数百万美元的经济损失。

微软的“外科手术式”打击

此次行动并非简单的技术封禁。微软在获得美国法院的授权后，与全球多家域名注册商和托管服务商展开协作，实施了“域名接管”（Domain Takeover）。这意味着微软不仅关闭了这些恶意网站，还接管了其后台控制权，能够监控攻击者的后续动向，收集更多犯罪证据。

“这是一次典型的‘斩首行动’，”芦笛评价道，“通过法律手段获得授权，再联合产业链上下游进行精准打击，不仅能立即阻断攻击，还能反向追踪犯罪网络，为后续执法提供支持。”

微软强调，此次查封的338个域名只是“RaccoonO365”生态的一部分。该平台采用“动态域名轮换”策略，不断注册新域名以规避检测。因此，单一的封禁行动难以根除威胁。

防御升级：从被动响应到主动免疫

面对日益智能化的钓鱼攻击，企业和个人的防御策略也需同步进化。微软与安全专家共同提出以下建议：

1. 强化身份与访问管理