Quantum Route Redirectという新しいフィッシング自動化プラットフォームが、約1,000のドメインを利用してMicrosoft 365ユーザーの認証情報を盗み出しています。
このキットはフィッシング用ドメインがあらかじめ設定されており、スキルの低い脅威アクターでも最小限の労力で最大の成果を上げられるようになっています。
8月以降、セキュリティ意識向上企業KnowBe4のアナリストは、Quantum Route Redirect(QRR)攻撃が広範囲で確認されていると報告していますが、そのうち約4分の3は米国で発生しています。
彼らは、このキットが「高度な自動化プラットフォーム」であり、悪意のあるドメインへのリダイレクトから被害者の追跡まで、フィッシング攻撃のすべての段階をカバーできると述べています。
攻撃は、DocuSignのリクエスト、支払い通知、不在着信のボイスメール、またはQRコードを装った悪意のあるメールから始まります。
出典: KnowBe4
これらのメールは、特定のパターンに従ったURLでホストされている認証情報搾取ページへターゲットを誘導します。
「我々の研究者は、ドメインURLが一貫して“/([\w\d-]+\.){2}[\w]{,3}\/quantum.php/”というパターンに従い、通常はパークドメインや侵害されたドメインでホストされていることを確認しました」とKnowBe4は説明しています。
「正規のドメインでホストするという選択は、これらの攻撃の人間ターゲットに対してソーシャルエンジニアリングを仕掛けるのに役立ちます。」
KnowBe4によると、QRRフィッシングページをホストしているドメインは約1,000件特定されています。
組み込みのフィルタリング機構により、ボットと人間の訪問者を区別できると研究者は述べており、QRRは潜在的な被害者をフィッシングページへリダイレクトし、自動化システム(メールセキュリティツールなど)は無害なサイトへ送ることが可能です。
出典: KnowBe4
QRRの中央トラフィックルーティングシステムはリダイレクト作業を自動で行い、運用者はダッシュボードで関連統計を閲覧できます。ここにはリアルな訪問者と非人間の訪問者数がリアルタイムで記録されます。
出典: KnowBe4
KnowBe4は、QRRフィッシングキットが90か国以上のMicrosoft 365アカウントを標的にしていることを確認していますが、攻撃の76%は米国ユーザーに向けられていました。
出典: KnowBe4
研究者らは、URLスキャン技術を回避する手法が使われているため、Quantum Route Redirectの利用が今後さらに増加すると予想しています。
今年初めに注目を集めた類似サービスには、VoidProxy、Darcula、Morphing Meerkat、Tycoon2FAなどがあります。
しかし、この脅威から身を守るための防御策も存在します。
KnowBe4のアナリストは、フィッシングの試みを検出できる堅牢なURLフィルタリングの導入と、ユーザーの認証情報が盗まれた場合にアカウントの異常を監視できるツールの併用を推奨しています。
更新 11/12 – Beazley Security Labsも以前にQuantum Route Redirectインフラを分析し、こちらで調査結果を公開しています。
