警惕QRR钓鱼平台：千域名滥用与微软365攻击应对

11月11日，网络安全研究机构KnowBe4发布报告称，一个名为“量子路由重定向”（简称QRR）的新型网络钓鱼自动化平台正浮出水面。该平台利用上千个域名，针对全球范围内的Microsoft 365用户发起大规模凭证窃取攻击。

报告进一步指出，自今年8月以来，KnowBe4已在全球范围内持续监测到QRR的攻击活动，受影响的Microsoft 365用户遍布多达90个国家和地区，其中约四分之三的攻击目标位于美国。

分析人员表示，这一攻击工具包“是一种极为先进的自动化平台”，能够覆盖网络钓鱼攻击的全部阶段——从重定向受害者流量、部署恶意域名，到追踪访问者行为，几乎无所不包。

据悉，攻击通常始于伪装成DocuSign文件请求、付款通知、未接语音留言或二维码的钓鱼邮件。这类邮件会引导受害者访问高度仿冒的登录页面，进而骗取其账户凭证。

KnowBe4研究人员指出，这些恶意URL通常遵循特定的命名规律：‘/([\w\d-]+.){2}[\w]{,3}/quantum.php/’。它们常常托管在闲置或已被入侵的合法域名之上。

研究团队补充说明，攻击者选择使用合法域名托管钓鱼页面，是为了增强“社会工程学效果”，从而提高攻击的可信度与成功率。

KnowBe4表示，该平台还内置了智能过滤机制，能够有效区分机器人流量与真人访问。当检测到人类用户时，系统会自动将其重定向至钓鱼页面；而安全扫描系统等自动化工具则会被导向正常网站，以此规避检测。

QRR的核心流量路由系统能够自动执行这些复杂的重定向操作。攻击者可以通过控制面板实时查看访问统计，包括真实访客与非人类流量的比例等关键信息。

截至目前，KnowBe4已检测到QRR钓鱼活动波及90个国家的Microsoft 365用户，其中76%的攻击火力集中在美国地区。研究人员预计，由于其规避URL扫描技术的方式颇为有效，这一攻击平台的使用规模很可能会继续扩大。

值得注意的是，今年早些时候已出现多种类似的钓鱼即服务平台，例如VoidProxy、Darcula、Morphing Meerkat以及Tycoon2FA。

为了防范此类威胁，KnowBe4建议企业部署高级URL过滤系统以识别钓鱼企图，并采用能够监控账户异常活动的工具，以便在凭证被盗后能够及时发现并快速响应。