文章总结： 文档分析针对德国制造业的AsyncRAT攻击，利用CVE-2024-43451漏洞通过钓鱼邮件传播恶意软件。文章强调通过威胁情报进行主动搜寻和行业筛选，能有效缩短攻击停留时间，建议企业利用关联指标完善检测体系，提前防范此类定向攻击。 综合评分： 90 文章分类： 威胁情报,恶意软件,社会工程学,漏洞分析,解决方案

德国制造业遭受网络钓鱼攻击：追踪隐蔽的 AsyncRAT 活动

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月16日 09:03 北京

制造业 企业 已悄然成为现代网络威胁形势下最受攻击的目标之一。这并非因为它们粗心大意，而是因为它们运营至关重要、地域分散，而且通常依赖于攻击者最喜欢探测的复杂IT和OT环境。

要点总结

• 制造业是勒索软件团伙和高级攻击活动的主要目标行业之一，这些团伙和活动通常会使用针对特定地区的诱饵。

• 攻击者仍然偏爱以发票为主题和与供应商相关的电子邮件，并精心进行本地化，以提高制造业环境中的信任度和点击率。

• 只有一两个供应商检测到的文件通常表明存在旨在绕过传统防御措施的新型攻击，因此早期发现至关重要。

• 在各种案例中重复使用 WebDAV、已知漏洞和熟悉的 RAT 系列， 有助于分析人员将结构化攻击活动与背景噪音区分开来。

• 按行业和国家/地区筛选威胁可以显著提高相关性，使团队能够专注于最有可能影响其业务的攻击。

• 通过在警报触发前识别活动，企业可以缩短停留时间，防止对制造运营造成特别高昂代价的中断。

• 通过关联行业、地理位置、技术和指标， 威胁情报查找 帮助制造企业及早发现活跃的攻击活动，并将威胁情报转化为预防控制措施，而不仅仅是参考来源。

威胁形势：制造业遭受围攻

ANY.RUN基于超过 50 万名分析师和 1.5 万个安全运营中心 (SOC) 提交的沙箱数据，显示针对制造业企业的恶意活动有所增加。虽然这一增长趋势与其他行业的趋势相符，但制造业的攻击率始终略高于平均水平，证实了其作为优先攻击目标的地位。

深入剖析一起真实袭击事件

其中一个案例因其复杂性和针对性强而脱颖而出。

此次攻击利用了德国一家知名软件供应商的品牌，表明其目标明确指向德国公司。此案尤其引人注目之处在于以下几点：

• 利用最近披露的漏洞，

• 同时部署两种远程访问木马（RAT）：  AsyncRAT 和 XWorm。

• 极具说服力的社会工程学策略。

此次攻击的目标是一家德国建筑和工程服务公司，攻击者精心制作了一封钓鱼邮件：

发件人欺骗：

• 显示名称：“ COMPANY_NAME  eG”（合法公司名称），

• 实际发件人：g.bader-gmbh@gmx[.]de（德国域名，以增加真实性）。

邮件内容：

• 设计为来自COMPANY_NAME的发票通知 ，

• 包含文件编号和日期以证明其合法性。

• 专业设计可提高点击率

• 邮件中嵌入了恶意链接。

点击链接后，受害者会被重定向到 Dropbox，在那里有一个名为“ COMPANY_NAME  -Rechnung Nr. 21412122025.pdf.zip”的文件等待下载。

混淆技术：

• 使用双重文件扩展名（.pdf.zip）来掩盖真实的文件类型；

• 存档中包含“ COMPANY_NAME -Rechnung Nr. 21412122025.pdf.url”，这是一个伪装成 PDF 的快捷方式文件；

• 旨在鼓励受害者打开文件的格式

规避检测：

分析时，VirusTotal 上只有一家供应商将此文件标记为恶意文件。如此低的检测率强烈表明这是一个旨在绕过传统安全控制措施的新样本。

此次攻击利用了 CVE-2024-43451 漏洞，该漏洞允许在不实际打开 .url 文件的情况下自动建立 WebDAV 连接。在处理归档文件或与附件交互期间，系统会自动连接到远程资源。

执行流程：

• 从 ZIP 压缩包中打开 .url 文件；

• 远程资源显示为网络目录；

• 包含伪装成 PDF 的 .lnk 文件；

• 运行此文件会触发后续攻击阶段；

• 结果包括 XWorm 和 AsyncRAT 的 部署。

这种组合为攻击者提供了冗余性和持久性，增加了维持对受害者环境访问权限的机会。

值得注意的是，在 APT 活动中也观察到了利用此漏洞的类似 WebDAV 技术，这证实这不是机会主义噪音，而是一种成熟的攻击模式。

扩大调查范围：活动范围分析

识别出一次攻击仅仅是开始。主动威胁搜寻的真正价值在于了解攻击的规模、模式和相关性。

利用威胁情报查找，我们从原始案例转向搜索相关活动：文件名中包含“ COMPANY_NAME ”的电子邮件和 PDF；与恶意文档关联的哈希值。

filePath:” COMPANY_NAME .pdf*” 或 filePath:” COMPANY_NAME .eml” 或 sha256:”8af19a103fbab4d5a2b9f59098e78e61df1721508e2d148fe9ba2b29e72900ca”

查询结果：

• 35 项分析符合指定参数；

• 几乎所有上传的文件都来自 11 月 4 日，证实了近期的活动；

• 多个实例显示 Dropbox 连接用于 ZIP 压缩文件传输；

• 生成的指标适用于完善检测系统。

当我们分析行业和地域分布情况时，情况就更加清晰了。制造业仍然是攻击目标最多的行业之一，近三分之二的攻击发生在德国。相同的核心攻击手段反复出现：CVE-2024-43451、WebDAV滥用、AsyncRAT和XWorm。

对攻击中使用的 PDF 文件进行哈希搜索显示，40% 的提交来自制造业，100% 的上传来自德国的 ANY.RUN 沙盒 用户：

SHA256：“8af19a103fbab4d5a2b9f59098e78e61df1721508e2d148fe9ba2b29e72900ca”

由于 AsyncRAT 和 XWorm 被广泛使用，我们将研究重点放在漏洞本身。对 CVE-2024-43451 的查询显示，大多数样本来自欧盟，其中德国约占一半。制造业再次成为主要攻击目标之一。所有样本中都存在 WebDAV 连接，表明攻击逻辑已标准化。

威胁名称：“CVE-2024-43451”

这种重复性正是威胁猎手们所寻找的。它为确定威胁优先级、利用相关指标完善内部检测系统以及主动在日志、电子邮件网关和网络流量中搜寻类似行为提供了强有力的依据。

主要发现和启示

本案例清楚地表明，利用 COMPANY_NAME主题诱饵、WebDAV 和 CVE-2024-43451 漏洞的攻击对制造企业仍然具有高度威胁，尤其是在德国。更重要的是，它展示了主动威胁搜寻如何彻底改变安全态势。

恶意软件分析师无需在系统遭到入侵后才做出反应，他们可以：

• 找出针对其所在行业和地区的活跃营销活动；

• 在攻击者的技术应用于生产环境之前就了解它们；

• 根据现实世界中的重复性和相关性对威胁进行优先级排序；

• 将高置信度指标输入检测和预防系统。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《德国制造业遭受网络钓鱼攻击：追踪隐蔽的 AsyncRAT 活动》