黑客已悄然利用Adobe Acrobat Reader中疑似存在的一個零日漏洞長達數月之久,通過植入惡意代碼的PDF文件對目標進行情報偵察,從而決定哪些對象值得發動全面攻擊。
沙箱漏洞檢測系統EXPMON的創始人、安全研究員李海飛表示,此次攻擊活動使用的惡意PDF文件在打開的瞬間即可觸發執行,即便是已完全更新的Reader版本同樣無法倖免,用戶除了查看文件外無需進行任何其他操作。
該漏洞利用經過高度混淆處理的JavaScript代碼,在文件被打開後立即運行。攻擊行為並非立刻發作,而是通過Acrobat內置API從受害者設備上收集資訊,包括本地文件和系統詳情,並將其回傳至攻擊者控制的伺服器。
第一階段本質上是偵察行動:獲取作業系統資訊、語言設置及文件路徑,以判斷所在系統的利用價值。若該設備符合攻擊者的預期條件,則會進一步拉取第二階段載荷並在Reader內部執行。研究人員指出,該階段可能進一步升級攻擊,直至實現遠程代碼執行,甚至突破沙箱限制。
李海飛表示:"這種機制使威脅行為者能夠收集用戶資訊、竊取本地數據、實施高級'指紋識別',並為後續攻擊做好準備。如果目標滿足攻擊者的條件,攻擊者可能會下發額外漏洞利用代碼,以實現遠程代碼執行或沙箱逃逸。"
換言之,並非所有受害者都會遭受同等對待。部分系統僅被進行資訊畫像,而另一些則會收到第二階段載荷,這表明攻擊者採取了更具針對性的策略。
目前已有跡象顯示潛在目標群體的範圍。另一位研究員Gi7w0rm發現,與該漏洞相關的誘餌文檔包含俄語內容,涉及該國油氣行業的時事資訊。這雖不能證明攻擊歸屬,但確實表明攻擊者事先鎖定了特定受眾,而非廣撒網式的無差別攻擊。
此次事件之所以引發廣泛關注,在於該漏洞長時間未被察覺。李海飛指出,一份相關樣本於2025年11月28日被上傳至VirusTotal,這意味著此次攻擊活動在被發現之前至少已活躍長達四個月。這將攻擊行為的起點追溯至2025年底,儘管直到近期才浮出水面。
目前,該漏洞既無CVE編號,也無補丁發布,Adobe方面尚未作出任何公開聲明。這意味著用戶目前仍處於暴露狀態,尤其是有習慣性打開來源不明PDF文件的用戶,風險尤為突出。
Q&A
Q1:Adobe Reader零日漏洞是如何通過PDF文件發動攻擊的?
A:該漏洞利用高度混淆的JavaScript代碼,在用戶打開PDF文件的瞬間自動執行,無需任何額外操作。惡意代碼首先通過Acrobat內置API收集受害者設備的作業系統資訊、語言設置和文件路徑,將數據回傳給攻擊者。若目標系統符合條件,攻擊者將下發第二階段載荷,可能進一步實現遠程代碼執行或沙箱逃逸,危害極大。
Q2:Adobe Reader零日漏洞主要針對哪些用戶群體?
A:目前的證據顯示,攻擊者並非無差別攻擊,而是具有特定目標。研究人員發現,與該漏洞相關的誘餌文檔包含俄語內容,並涉及俄羅斯油氣行業的時事資訊,表明攻擊者可能將該行業的相關人員列為重點目標。此外,攻擊者會對收集到的系統資訊進行篩選,只對符合條件的目標實施進一步攻擊。
Q3:Adobe Reader零日漏洞目前有沒有補丁或修複方案?
A:截至目前,該漏洞既無CVE編號,也無官方補丁發布,Adobe也未作出任何公開聲明。用戶當前仍處於風險暴露狀態,建議避免打開來源不明的PDF文件,以降低遭受攻擊的風險。此次攻擊活動疑似早在2025年11月便已開始活躍,直到近期才被安全研究人員發現。
