Quantum Route Redirect：简化全球Microsoft 365攻击的网络钓鱼工具

KnowBe4发现了一个高级钓鱼即服务平台，该平台能绕过安全工具、自动路由流量并为网络犯罪分子提供易用的分析功能，扩大了全球攻击范围。

发现背景

KnowBe4威胁实验室团队发现了一个针对全球Microsoft 365用户的新型高级网络钓鱼活动，旨在窃取用户凭证。这个被命名为“Quantum Route Redirect”的强大新型钓鱼工具包于8月初首次被发现。该工具包提供预配置设置和钓鱼域名，显著简化了原本技术复杂的攻击流程，进一步为技能较低的网络犯罪分子“普及”了网络钓鱼技术。

技术特性

降低技术门槛

Quantum Route Redirect集成了多项功能，消除了运行复杂钓鱼活动的技术障碍：

• 使用行为检测技术智能区分人工流量与自动化流量
• 通过智能路由对访问者进行自动分类，无需人工干预
• 提供简化的分析仪表板，以直观格式展示完整的受害者数据
• 包含实时监控功能，显示活动性能和成功指标

绕过安全检测

该钓鱼即服务平台能够区分安全工具和真实用户，将前者引导至合法网站，而将后者重定向到钓鱼网站。这种技术使其能够绕过URL扫描器和某些Web应用防火墙。

攻击流程

初始阶段

从目标用户的角度来看，这些攻击通常从钓鱼邮件开始。攻击者使用各种主题和策略广泛撒网，包括：

• 冒充DocuSign等协议平台
• 工资单相关诈骗
• 虚假支付通知
• 欺诈性“未接来电”消息
• QR码网络钓鱼

流量处理

当超链接首次被激活时（无论是安全工具扫描还是人工点击），请求都会被Quantum Route Redirect拦截并发送处理。平台的核心路由引擎随后分析所有传入流量，使用行为分析智能区分机器人和人类。

路由决策

• 如果流量被识别为来自机器人，则重定向到安全URL
• 如果访问者被识别为人类，则重定向到实际钓鱼网站
• 系统还为网络犯罪分子提供管理权限，包含两个简化管理界面

全球影响

该活动已成功入侵90个国家的受害者，显示出惊人的国际覆盖范围。美国承受了大部分攻击，占受影响用户的76%，其余24%分布在全球各地，使这一威胁真正具有全球性。

防护建议

KnowBe4建议安全团队实施多层防御策略，包括：

• 使用自然语言处理和自然语言理解分析邮件内容
• URL和负载分析、域名和冒充检测
• 多态检测技术
• 沙箱检测可疑邮件
• 持续监控识别潜在账户泄露
• 采用具有高级行为分析的人类风险管理平台
• 利用邮件威胁情报支持公司范围内的教育计划
• 建立快速事件响应程序