11月11日,网络安全研究机构KnowBe4发布报告称,一个名为“量子路由重定向”(简称QRR)的新型网络钓鱼自动化平台正浮出水面。该平台利用上千个域名,针对全球范围内的Microsoft 365用户发起大规模凭证窃取攻击。
报告进一步指出,自今年8月以来,KnowBe4已在全球范围内持续监测到QRR的攻击活动,受影响的Microsoft 365用户遍布多达90个国家和地区,其中约四分之三的攻击目标位于美国。

分析人员表示,这一攻击工具包“是一种极为先进的自动化平台”,能够覆盖网络钓鱼攻击的全部阶段——从重定向受害者流量、部署恶意域名,到追踪访问者行为,几乎无所不包。
据悉,攻击通常始于伪装成DocuSign文件请求、付款通知、未接语音留言或二维码的钓鱼邮件。这类邮件会引导受害者访问高度仿冒的登录页面,进而骗取其账户凭证。

KnowBe4研究人员指出,这些恶意URL通常遵循特定的命名规律:‘/([\w\d-]+.){2}[\w]{,3}/quantum.php/’。它们常常托管在闲置或已被入侵的合法域名之上。
研究团队补充说明,攻击者选择使用合法域名托管钓鱼页面,是为了增强“社会工程学效果”,从而提高攻击的可信度与成功率。
KnowBe4表示,该平台还内置了智能过滤机制,能够有效区分机器人流量与真人访问。当检测到人类用户时,系统会自动将其重定向至钓鱼页面;而安全扫描系统等自动化工具则会被导向正常网站,以此规避检测。
QRR的核心流量路由系统能够自动执行这些复杂的重定向操作。攻击者可以通过控制面板实时查看访问统计,包括真实访客与非人类流量的比例等关键信息。
截至目前,KnowBe4已检测到QRR钓鱼活动波及90个国家的Microsoft 365用户,其中76%的攻击火力集中在美国地区。研究人员预计,由于其规避URL扫描技术的方式颇为有效,这一攻击平台的使用规模很可能会继续扩大。
值得注意的是,今年早些时候已出现多种类似的钓鱼即服务平台,例如VoidProxy、Darcula、Morphing Meerkat以及Tycoon2FA。
为了防范此类威胁,KnowBe4建议企业部署高级URL过滤系统以识别钓鱼企图,并采用能够监控账户异常活动的工具,以便在凭证被盗后能够及时发现并快速响应。
