11 月 11 日消息,安全研究机构 KnowBe4 发现,一种名为 Quantum Route Redirect(简称 QRR)的新型网络钓鱼自动化平台,正在利用上千个域名针对 Microsoft 365 用户发动全球性攻击,窃取账户凭证。
报告显示,自 8 月以来,KnowBe4 已在全球范围内持续观察到 QRR 攻击活动,波及 90 个国家的 Microsoft 365 用户,其中约四分之三的目标位于美国。
分析人员称,这一攻击工具包“是一种先进的自动化平台”,能够覆盖网络钓鱼攻击的全部阶段,从重定向受害者流量到恶意域名,再到追踪访问者行为。
据介绍,攻击通常从伪装成 DocuSign 文件请求、付款通知、未接语音留言或二维码邮件开始。这些邮件会引导受害者访问伪造的登录页面,以骗取凭证信息。
KnowBe4 研究人员指出,这些恶意网站的 URL 通常遵循特定规律:‘/([\w\d-]+.){2}[\w]{,3}/quantum.php/’,并且通常托管在闲置或被入侵的域名上。
研究团队补充说,攻击者选择使用合法域名托管钓鱼页面,是为了增强“社会工程效果”,提高攻击的可信度。
KnowBe4 表示,该平台还内置过滤机制,可区分机器人流量与真人访问 —— 从而在检测到人类用户时自动重定向至钓鱼页面,而安全扫描系统等自动化工具则被导向正常网站以规避检测。
QRR 的核心流量路由系统能自动执行这些重定向操作。攻击者可通过控制面板实时查看访问统计,包括真实访客与非人类流量的比例。
截至目前,KnowBe4 已检测到 QRR 钓鱼活动波及 90 个国家的 Microsoft 365 用户,其中 76% 的攻击针对美国地区。研究人员预计,由于其规避 URL 扫描技术的方式有效,这一攻击平台的使用规模可能会继续扩大。
今年早些时候已有多种类似的钓鱼即服务平台(PhaaS)出现,包括 VoidProxy、Darcula、Morphing Meerkat 和 Tycoon2FA。
为防御此类威胁,KnowBe4 建议企业部署高级 URL 过滤系统以识别钓鱼企图,并使用可监控账户异常活动的工具,在凭证被盗后能及时发现并响应。
