Phishing-as-a-Service (PhaaS) Operasyonları ve RaccoonO365
Son dönemde siber güvenlik alanında yaşanan önemli gelişmelerden biri, Microsoft ve Cloudflare’ın ortaklaşa düzenlediği bir operasyon ile RaccoonO365 olarak bilinen devasa bir Phishing-as-a-Service (PhaaS) operasyonunun faaliyetlerini durdurmasıdır. RaccoonO365, cyber suçlulara binlerce Microsoft 365 kimlik bilgisi çalmalarında yardımcı olan bir uygulama olarak dikkat çekiyor.
- Phishing-as-a-Service (PhaaS) Operasyonları ve RaccoonO365
- RaccoonO365 Operasyonunun Çöküşü
- Siber Suçların Ölçeği
- Çalınan Verilerin Kullanım Amaçları
- Salgın Etkisi ve Sonuçları
- PhaaS Ekosisteminin İşleyişi
- RaccoonO365’ın Finansal Durumu ve Ağı
- Uluslararası İşbirliği ve Suçluların Takibi
- Geleceğe Yönelik Eylemler
RaccoonO365 Operasyonunun Çöküşü
Eylül 2025’in başlarında, Microsoft’un Dijital Suçlar Birimi (DCU), Cloudflare’ın Cloudforce One ve Trust and Safety ekipleri ile koordineli bir çalışma yaparak, RaccoonO365 ile bağlantılı toplamda 338 web sitesi ve Worker hesaplarını ele geçirdi. Bu operasyonla birlikte, RaccoonO365’ın arkasında bulunan siber suç grubu (Microsoft tarafından Storm-2246 olarak da takip ediliyor), 2024 yılının Temmuz ayından bu yana en az 5,000 Microsoft kimlik bilgisi çaldığını tespit etti.
Siber Suçların Ölçeği
RaccoonO365, kullandığı phishing kitleri sayesinde, CAPTCHA sayfaları ve anti-bot teknikleriyle meşru gibi görünerek analizlerden kaçmayı başarıyor. Örneğin, Nisan 2025’te gerçekleştirilen büyük ölçekli bir RaccoonO365 vergi temalı phishing kampanyası, Amerika Birleşik Devletleri’ndeki 2,300’den fazla kuruluşu hedef aldı. Bununla birlikte, bu phishing kitleri, 20’den fazla Amerikan sağlık kuruluşuna karşı da kullanıldı.
Çalınan Verilerin Kullanım Amaçları
Kurbanlardan çalınan kimlik bilgileri, çerezler ve diğer veriler, daha sonra finansal dolandırıcılık girişimlerinde ve zorbalık saldırılarında kullanıldı veya diğer kurbanların sistemlerine ilk erişim sağlamak için kullanıldı. Microsoft’un Dijital Suçlar Birimi Asistan Genel Danışmanı Steven Masada, “Bu durum kamu güvenliğini tehdit etmekte ve RaccoonO365 phishing e-postalarının, genellikle kötü amaçlı yazılımlar ve ransomware için bir öncü olduğunu belirtmektedir” dedi.
Salgın Etkisi ve Sonuçları
Bu tür saldırılar sonucunda, sağlık hizmetlerinde gecikmeler yaşanmakta, acil bakım hizmetleri ertelenmekte veya iptal edilmekte, laboratuvar sonuçları tehlikeye atılmakta ve hassas veriler sızdırılmaktadır. Finansal kayıplar yaşanmakta ve bu durum doğrudan hastaların sağlık hizmetlerinden yararlanmasını olumsuz yönde etkilemektedir.
PhaaS Ekosisteminin İşleyişi
RaccoonO365, özel bir Telegram kanalında, abone tabanlı phishing kitini kiralayarak faaliyetlerini sürdürüyor. Bu kanal, 25 Ağustos 2025 itibarıyla 840’den fazla üye barındırıyordu. Abonelik fiyatları, 30 günlük plan için 355 dolar ile 90 günlük abonelik için 999 dolar arasında değişmekteydi. Ödemeler ayrıca, USDT (TRC20, BEP20, Polygon) veya Bitcoin (BTC) gibi kripto para birimleri ile yapılmakta.
RaccoonO365’ın Finansal Durumu ve Ağı
Microsoft, RaccoonO365 grubunun şu ana kadar en az 100,000 dolar değerinde kripto para ödemesi aldığını öne sürmektedir. Tahminlere göre, yaklaşık 100 ila 200 abone bulunmakta; ancak gerçek abone sayısının çok daha fazla olması muhtemeldir. Microsoft’un araştırma sürecinde, RaccoonO365’in liderinin Joshua Ogundipe olduğu; bu kişinin Nijerya‘da yaşadığı tespit edilmiştir.
Uluslararası İşbirliği ve Suçluların Takibi
Cloudflare, RaccoonO365’ın, Rusça konuşan siber suçlularla işbirliği yaptığını düşünmektedir; çünkü Telegram botunun adında Rusça ifadeler kullanıldığı gözlemlenmiştir. Microsoft’un analizlerine göre, Ogundipe’nin bir bilgisayar programlama geçmişi bulunmakta ve çoğu kodun yazarı olduğu düşünülmektedir.
Saldırganların operasyon güvenliğindeki bir açığın sonucu olarak yanlışlıkla bir kripto para cüzdanını ifşa etmeleri, DCU’nun bu grubu atfetmesine ve operasyonlarının anlaşılmasına yardımcı olan önemli bir nokta olmuştur. Ogundipe hakkında uluslararası kolluk kuvvetlerine suç duyurusunda bulunulmuştur.
Geleceğe Yönelik Eylemler
Mayıs ayında, Microsoft çift yönlü bir kalabalık disruptif eylem ile Lumma adlı başka bir malware-as-a-service bilgi hırsızlığı hizmetine yönelik olarak 2,300 domaine el koymuştur. Bu tür çalışmalar, siber güvenlik alanında birçok yeniliği ve gelişmeyi beraberinde getirmektedir.
Sonuç olarak, PhaaS sistemleri ve bu tür siber suçların önlenmesi amacıyla alınacak önlemler, hem bireylerin hem de kuruluşların güvenliğini temin etmek adına kritik bir öneme sahiptir.
