一份名为"Invoice540.pdf"的文件,去年11月就躺在了VirusTotal上,直到今年3月才有人意识到它不对劲。这不是普通的钓鱼文档,而是一个精心设计的零日漏洞攻击样本,专门针对全球装机量数亿的Adobe Reader。
安全公司EXPMON的研究员李海飞(Haifei Li)本周披露了这起攻击的细节。攻击者从2025年12月起就开始利用这个未公开的漏洞,时间跨度超过三个月。样本文档伪装成发票,一旦用户在Adobe Reader中打开,无需任何额外操作,就会触发内嵌的混淆JavaScript代码。
整个过程静默无声,用户看到的只是一个普通的PDF界面,后台却已经开始收集敏感信息,并向远程服务器请求下一步指令。
攻击链条:从"发票"到远程控制的四步跳转
李海飞将这次攻击定性为"高度复杂的PDF漏洞利用"。技术路径并不花哨,但足够隐蔽。文档利用Adobe Reader中一个尚未修复的零日漏洞,直接调用特权级Acrobat API——相当于拿到了PDF阅读器的管理员钥匙。
第一步是信息收集。样本会提取系统环境数据,进行高级指纹识别。第二步是外联,将收集到的信息发送到169.40.2.68:45191这个远程地址。第三步是等待指令,服务器可以回传额外的JavaScript代码在本地执行。第四步,理论上可以部署远程代码执行(RCE)和沙箱逃逸(SBX)漏洞,完全控制目标设备。
安全研究员Gi7w0rm在X平台上补充了一个关键细节:这些PDF文档包含俄语诱饵内容,涉及俄罗斯油气行业的时事议题。攻击目标的地域和行业属性由此浮出水面。
但李海飞的团队在分析时遇到了一个卡点。当他们尝试与远程服务器通信以获取下一阶段攻击载荷时,没有收到任何响应。这可能意味着测试环境没有满足攻击者的筛选条件——比如地理位置、系统配置或特定软件版本。
换句话说,这是一个有门槛的攻击,不是广撒网,而是精准钓鱼。
零日漏洞的"保质期"为什么越来越长
Adobe Reader的漏洞历史堪称一部现代网络安全教科书。2017年的CVE-2017-0199、2021年的CVE-2021-28550,都曾引发大规模攻击。但这次的不同之处在于,攻击者选择了一条更隐蔽的路线:不直接搞破坏,而是先潜伏、收集、筛选,再决定下一步动作。
这种"渐进式"攻击模式正在变得普遍。攻击者不再追求一击必杀,而是把零日漏洞当作长期资产来运营。一份PDF文档可以在VirusTotal上公开躺四个月而不被识别,本身就说明了检测机制的滞后。
VirusTotal是一个公开的文件分析平台,安全厂商和研究人员会上传可疑样本进行多引擎扫描。但自动化扫描对混淆JavaScript和零日漏洞的识别能力有限,尤其是当攻击代码针对特定软件版本设计时。
李海飞特别提醒,该漏洞在"最新版Adobe Reader"上仍可复现。这意味着即使用户保持软件更新,目前也没有补丁可用。Adobe尚未发布安全公告,漏洞的CVE编号、具体影响范围、修复时间表全部未知。
PDF:被低估的攻击面
普通用户对PDF的安全警惕性普遍低于可执行文件。这种心理惯性被攻击者精准利用。"Invoice540.pdf"这个名字本身就经过设计——发票是商务场景中最常见的文档类型之一,收件人几乎不会犹豫就打开。
Adobe Reader的JavaScript支持功能(正式名称为Acrobat JavaScript)本意是增强文档交互性,比如自动计算表单、验证输入格式。但这个功能自诞生以来就争议不断,多次成为攻击入口。企业IT部门通常建议禁用JavaScript,但默认设置下它是开启的。
本次攻击的技术细节显示,攻击者调用的是"特权级Acrobat API"。这暗示漏洞可能涉及权限提升或API滥用,而非传统的内存损坏类漏洞。这类漏洞的修复往往更复杂,因为涉及软件架构层面的调整。
远程服务器IP 169.40.2.68位于荷兰,但IP地理位置可以被轻易伪造或代理。真正的攻击者身份目前没有任何公开线索。俄语诱饵内容指向俄罗斯目标,但攻击基础设施的部署地点和攻击者的实际位置是两回事。
防御建议:在补丁到来之前
在Adobe发布正式修复之前,企业和个人能做的事情有限但有效。禁用Adobe Reader的JavaScript功能是首要建议,路径在编辑→首选项→JavaScript中。对于企业环境,组策略可以批量推送这个配置。
其次是对来源不明的PDF保持警惕,尤其是文件名带有数字编号、 urgency暗示(如"紧急""过期")或特定行业术语的文档。本次攻击中的"Invoice540.pdf"同时命中了编号和行业场景两个特征。
终端检测与响应(EDR)产品需要更新规则以识别异常的Acrobat进程行为,比如网络连接、脚本执行、API调用序列等。传统的基于签名的杀毒软件对这类攻击几乎无效。
李海飞在分析结论中写道:"这种零日/未修复漏洞的广泛信息收集能力,以及后续RCE/SBX利用的潜在可能,足以让安全社区保持高度警惕。"
攻击者的服务器目前处于沉默状态,是暂时蛰伏还是已经转移阵地?下一个阶段的载荷会针对什么目标释放?Adobe的补丁还要等多久?这些问题现在都没有答案。唯一确定的是,那份"发票"已经开了四个月,而很多人可能刚刚才听说这件事。
热门跟贴