微軟數位犯罪部門（Digital Crimes Unit, DCU）與Cloudflare合作，成功瓦解名為RaccoonO365的釣魚即服務（Phishing-as-a-Service, PhaaS）平台，透過紐約南區法院命令沒收338個相關網站，切斷犯罪集團的技術基礎設施。該服務由尼日利亞人Joshua Ogundipe領導，自2024年7月起已用於竊取全球至少5,000個Microsoft 365憑證，影響94國用戶，並針對美國逾2,300組織發動稅務主題釣魚攻擊。專家警告，此類低門檻犯罪工具讓無技術背景者輕易加入網路犯罪，台灣企業及醫療機構需加強員工訓練及郵件過濾，防範類似威脅導致資料外洩或勒索。

 

 

微軟於9月16日發布部落格文章，表示RaccoonO365（微軟追蹤為Storm-2246）是網路犯罪分子竊取Microsoft 365用戶名稱及密碼的最快成長工具，提供訂閱制釣魚套件，讓低技術技能者也能模仿官方Microsoft通訊，發送欺詐郵件、附件及網站，誘騙用戶輸入資訊。DCU助理總顧問Steven Masada寫道：「這些套件讓任何人—即使技術有限—都能竊取Microsoft憑證。RaccoonO365使用Microsoft品牌，讓假郵件及網站看似合法，誘使收件人開啟、點擊並輸入資料。」訂閱服務允許用戶每日輸入高達9,000個電郵地址發動自動化攻擊，年發送量達數億封惡意郵件，並提供垃圾郵件及電子郵件安全過濾規避服務，甚至利用Azure等Microsoft雲端服務竊取憑證。

 

 

自2024年7月起，RaccoonO365套件已竊取至少5,000個憑證，來自94國用戶，Masada稱其規模標誌「網路犯罪新階段，詐騙及威脅將指數級增長」。該服務針對美國逾2,300組織發動稅務主題釣魚攻擊，影響至少20家醫療機構，Masada強調：「這威脅公共安全，RaccoonO365釣魚郵件常為惡意軟體及勒索軟體的前奏，對醫院造成嚴重後果，如延遲服務或暴露敏感健康資料。」訂閱費用為30天355美元、60天600美元、90天999美元，僅接受加密貨幣支付，微軟估計Ogundipe及其夥伴已獲至少10萬美元收入，相當於100至200個訂閱，但實際數字可能更高。近期，該集團推廣新AI驅動服務「RaccoonO365 AI-MailCheck」，旨在擴大攻擊規模及效率。

 

 

Cloudflare於9月16日部落格文章中指出，RaccoonO365使用多種釣魚技巧，模仿DocuSign、SharePoint、Adobe及Maersk等品牌，隱藏憑證竊取功能於附件連結或PDF文件。文章描述：「RaccoonO365釣魚郵件模仿受信任品牌或目標公司內部組織，使用熟悉工作主題剝削信任並製造急迫感。檔案名稱模仿常規通訊，如財務或人力資源文件、政策協議、合約及發票。有些郵件進一步將收件人姓名融入連結或附件，提升可信度。此社會工程戰術增加用戶點擊機率，認為訊息合法。」Cloudflare透過註冊模式映射攻擊基礎設施，於9月初執行三天「rugpull」行動，與微軟及美國執法機關合作，禁止所有識別域名、在其前置「釣魚警告」頁面、終止相關Workers腳本，並停用用戶帳戶，防止重新註冊。

 

 

微軟DCU趁機揭露並識別RaccoonO365主腦為尼日利亞的Joshua Ogundipe，其夥伴各司其職，形成公司般結構：開發及銷售服務、提供客戶支援，幫助其他犯罪分子竊取Microsoft用戶資訊。為掩蓋犯罪，他們使用虛假姓名及多國虛構地址註冊網域。Masada指出，一項運作安全疏失—威脅行為者無意揭露秘密加密貨幣錢包—助DCU歸因及了解其運作。微軟已向國際執法機關提交Ogundipe的刑事轉介，並於8月對Ogundipe及四名匿名夥伴提起民事訴訟。Cloudflare表示，此行動從單一網域移除轉為主動大規模瓦解，旨在提高RaccoonO365營運成本，並向其他惡意行為者發送信號：「犯罪企業的免費等級太昂貴。」

 

 

台灣資安專家分析，此事件對本土影響深遠。Microsoft 365在台灣企業及醫療機構廣泛使用，釣魚攻擊常導致憑證外洩及後續勒索。行政院國家資通安全會報表示，將監測RaccoonO365相關活動，呼籲用戶檢查Microsoft 365日誌，啟用多因素驗證（MFA）及抗釣魚訓練。趨勢科技台灣區總經理洪偉淦受訪時指出：「PhaaS如RaccoonO365降低犯罪門檻，讓低技能者發動大規模攻擊。台灣醫療及稅務部門易成目標，應部署AI郵件過濾，監控Azure使用，並定期輪換憑證。」他建議，企業實施零信任架構，驗證附件及連結來源，避免點擊模仿DocuSign等品牌的郵件，防範惡意軟體感染。

 

 

此瓦解行動與近期資安趨勢呼應，如北韓Kimsuky利用ChatGPT偽造軍ID發動釣魚、FBI警告UNC6040及UNC6395攻擊Salesforce用戶，顯示PhaaS及AI輔助釣魚興起。Check Point Research報告顯示，2025年4至6月，Microsoft為全球最常被模仿品牌，佔釣魚攻擊25%。微軟及Cloudflare強調，此合作標誌從反應式移除轉向主動瓦解，預期將抑制類似服務擴散。台灣政府可推動資安法規，強制企業報告釣魚事件，並與國際合作共享IOC。用戶防範之道包括：不點擊不明附件、使用MFA、檢查郵件發件人及URL。隨著網路犯罪民主化，公私部門需強化防護，確保數位安全。