[데일리시큐]마이크로소프트·클라우드플레어, 글로벌 피싱 서비스 ‘RaccoonO365’ 조직 전격 차단

내용 요약

마이크로소프트와 클라우드플레어가 ‘RaccoonO365’라는 대규모 피싱‑as‑a‑서비스(PhaaS) 조직을 법적·기술적 수단으로 동시에 차단했습니다. 338개의 악성 웹사이트와 관련 계정이 압수·정지되며, 이 사건은 사이버 범죄 인프라 차단의 대표적 사례로 기록됩니다.

핵심 포인트

• PhaaS(피싱‑as‑a‑서비스) 구조 – 공격자가 웹 사이트, 이메일 템플릿, 인증 도구를 빌려 마이크로소프트 365 계정을 표적.
• 법적·기술적 동원 – 미국 뉴욕 남부지방법원 명령과 DCU(디지털범죄대응팀)의 협력으로 웹사이트 압수, 클라우드플레어가 Workers/계정 정지.
• 클라우드플레어 Workers 차단 – 공격 트래픽이 Workers를 통해 전달되므로, Workers 정지로 대규모 피해 방지.

기술 세부 내용

1️⃣ Phishing‑as‑a‑Service (PhaaS)

• 구성요소:
  1. 도메인/서버 인프라 – 악성 웹사이트가 도메인, CDN, 호스팅에 배포.
  2. 이메일 템플릿 – 마이크로소프트 365 UI를 흉내낸 정교한 스팸.
  3. 피싱 페이지 – 로그인 정보를 가로채는 스크립트와 MITM(Man‑in‑the‑Middle) 방어 회피 기술.
• 운영 방식: 공격자는 API로 새로운 사이트를 생성하고, 피싱 데이터를 외부로 유출.
• 감지 포인트:
  • DNS 조회 패턴(단기간에 급증하는 서브도메인).
  • SMTP 헤더(불법 이메일 발송 패턴).
  • 사용자 인증 흐름에서 비정상적 리디렉션.

2️⃣ 법적·기술적 차단 메커니즘

• 법적 수단:
  • 미국 뉴욕 남부지방법원 명령으로 DCU가 338개의 악성 웹사이트를 강제 압수.
  • 클라우드플레어는 해당 도메인에 대한 서브스크립션과 Workers 액세스를 정지해 법적 책임 범위 확대.
• 기술적 수단:
  1. DNS 블랙리스트 (RBL) – 공격 도메인 및 IP를 차단 목록에 등록.
  2. 클라우드플레어 Workers 정지 – 서버리스 스크립트가 실행되는 엔드포인트를 무력화.
  3. HTTPS 프록시 및 TLS 검사 – 중간자 공격을 탐지하고 차단.
• 운영 흐름:
  • 탐지 → 정책 적용 → 클라우드플레어 트래픽 차단 → 법적 압수 → 사이버 범죄 인프라 파괴.

이처럼 마이크로소프트와 클라우드플레어는 법원 명령과 클라우드 인프라 제어를 결합해 전 세계 사용자들의 마이크로소프트 365 계정을 보호하고, 피싱‑as‑a‑서비스 조직의 사역을 완전히 중단시켰습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200592