一個名為量子路由重定向（Quantum Route Redirect , QRR）(註)的新型網路釣魚自動化平台正在使用約 1000 個網域來竊取 Microsoft 365 使用者的憑證。這個惡意服務屬於「網路釣魚即服務」（PhaaS, Phishing-as-a-Service）的一種變體，其核心優勢在於高度的自動化與內建的規避機制。該工具包預先配置了釣魚域名，使技能較低的威脅行為者能夠以最少的努力獲得最大的效果，實現大規模的攻擊部署。

註：

「量子路由重定向（Quantum Route Redirect, QRR）」不是量子計算技術，而是一種 Phishing-as-a-Service (PhaaS) 平台，提供給攻擊者現成的釣魚工具。它透過自動化的流量重定向機制，將使用者導向惡意網站以竊取憑證，並能巧妙避開資安防護工具的偵測。

1. 運作方式：

• 攻擊者寄送偽造的電子郵件（如 DocuSign、付款通知、語音留言或 QR code）。
• 使用者點擊後，流量會先經過 QRR 的路由系統。
• 人類使用者會被導向釣魚頁面（收集帳號密碼），而安全掃描工具或機器人則被導向正常網站，以規避偵測。

2. 技術特點：

• 使用約 1,000 個已遭入侵或停放的合法網域來託管釣魚頁面。
• 內建過濾機制，能區分人類與自動化系統。
• 提供即時統計儀表板，讓攻擊者追蹤受害者數量與流量來源。

攻擊始於一封惡意電子郵件，該電子郵件偽裝成DocuSign 請求、付款通知、未讀語音郵件或二維碼。攻擊者利用這些常見且具有急迫性的主題，誘騙使用者點擊連結。這些電子郵件會將目標使用者引導至憑證收集頁面，該頁面託管在遵循特定模式的 URL 上。

KnowBe4 表示，他們已經發現約有 1000 個網域託管 QRR 網路釣魚頁面。這個龐大的惡意網域網路，使得安全防禦難以通過簡單的黑名單機制進行有效攔截。

QRR 工具包的核心威脅在於其精密的規避技術。研究人員表示，內建的過濾機制可以區分機器人和人類訪客，並補充說，QRR 可以將潛在受害者重新導向到釣魚頁面，而電子郵件安全工具等自動化系統則會被發送到良性網站。這種智慧流量路由系統，透過檢查存取源的IP地址、使用者代理字串和其他環境特徵，有效繞過了URL掃描器和沙箱分析，確保只有真正的目標使用者才會看到釣魚頁面，極大地提高了攻擊的成功率和持久性。

由於 QRR 上的中央流量路由系統會自動執行重定向任務，操作員可以在儀表板上查看相關統計數據，其中即時記錄真實訪客與非人類訪客的數量。這讓攻擊者能夠即時評估其活動的有效性，並根據數據調整策略，使其成為一個高效且易於操作的犯罪工具。

KnowBe4 觀察到，QRR 網路釣魚工具包針對 90 個國家的 Microsoft 365 帳戶，證明了其全球性的威脅範圍。儘管如此，其中 76% 的攻擊針對美國用戶，可能與美國市場的數位化程度高、Microsoft 365 企業用戶集中有關。

隨著人們採用各種方法來規避 URL 掃描技術，量子路由重新導向的使用將會增加。面對此類新型自動化且具備高度反分析能力的 PhaaS 威脅，企業必須採取更主動、更深入的防禦措施。KnowBe4 分析師建議實施強大的 URL 過濾，以偵測網路釣魚嘗試，這類過濾應超越靜態黑名單，結合啟發式分析和實時威脅情報。此外，在使用者憑證被盜時監控帳戶是否有被入侵跡象的工具也至關重要，包括對異常登入行為、郵件規則變更或不尋常的資料存取進行即時監控。最終，強化多因素驗證（MFA）仍是抵禦憑證竊取類網路釣魚攻擊最有效的基礎防線。

資料來源：https://www.bleepingcomputer.com/news/security/quantum-route-redirect-phaas-targets-microsoft-365-users-worldwide/