黑客已悄然利用Adobe Acrobat Reader中疑似存在的一个零日漏洞长达数月之久,通过植入恶意代码的PDF文件对目标进行情报侦察,从而决定哪些对象值得发动全面攻击。
沙箱漏洞检测系统EXPMON的创始人、安全研究员李海飞表示,此次攻击活动使用的恶意PDF文件在打开的瞬间即可触发执行,即便是已完全更新的Reader版本同样无法幸免,用户除了查看文件外无需进行任何其他操作。
该漏洞利用经过高度混淆处理的JavaScript代码,在文件被打开后立即运行。攻击行为并非立刻发作,而是通过Acrobat内置API从受害者设备上收集信息,包括本地文件和系统详情,并将其回传至攻击者控制的服务器。
第一阶段本质上是侦察行动:获取操作系统信息、语言设置及文件路径,以判断所在系统的利用价值。若该设备符合攻击者的预期条件,则会进一步拉取第二阶段载荷并在Reader内部执行。研究人员指出,该阶段可能进一步升级攻击,直至实现远程代码执行,甚至突破沙箱限制。
李海飞表示:"这种机制使威胁行为者能够收集用户信息、窃取本地数据、实施高级'指纹识别',并为后续攻击做好准备。如果目标满足攻击者的条件,攻击者可能会下发额外漏洞利用代码,以实现远程代码执行或沙箱逃逸。"
换言之,并非所有受害者都会遭受同等对待。部分系统仅被进行信息画像,而另一些则会收到第二阶段载荷,这表明攻击者采取了更具针对性的策略。
目前已有迹象显示潜在目标群体的范围。另一位研究员Gi7w0rm发现,与该漏洞相关的诱饵文档包含俄语内容,涉及该国油气行业的时事信息。这虽不能证明攻击归属,但确实表明攻击者事先锁定了特定受众,而非广撒网式的无差别攻击。
此次事件之所以引发广泛关注,在于该漏洞长时间未被察觉。李海飞指出,一份相关样本于2025年11月28日被上传至VirusTotal,这意味着此次攻击活动在被发现之前至少已活跃长达四个月。这将攻击行为的起点追溯至2025年底,尽管直到近期才浮出水面。
目前,该漏洞既无CVE编号,也无补丁发布,Adobe方面尚未作出任何公开声明。这意味着用户目前仍处于暴露状态,尤其是有习惯性打开来源不明PDF文件的用户,风险尤为突出。
Q&A
Q1:Adobe Reader零日漏洞是如何通过PDF文件发动攻击的?
A:该漏洞利用高度混淆的JavaScript代码,在用户打开PDF文件的瞬间自动执行,无需任何额外操作。恶意代码首先通过Acrobat内置API收集受害者设备的操作系统信息、语言设置和文件路径,将数据回传给攻击者。若目标系统符合条件,攻击者将下发第二阶段载荷,可能进一步实现远程代码执行或沙箱逃逸,危害极大。
Q2:Adobe Reader零日漏洞主要针对哪些用户群体?
A:目前的证据显示,攻击者并非无差别攻击,而是具有特定目标。研究人员发现,与该漏洞相关的诱饵文档包含俄语内容,并涉及俄罗斯油气行业的时事信息,表明攻击者可能将该行业的相关人员列为重点目标。此外,攻击者会对收集到的系统信息进行筛选,只对符合条件的目标实施进一步攻击。
Q3:Adobe Reader零日漏洞目前有没有补丁或修复方案?
A:截至目前,该漏洞既无CVE编号,也无官方补丁发布,Adobe也未作出任何公开声明。用户当前仍处于风险暴露状态,建议避免打开来源不明的PDF文件,以降低遭受攻击的风险。此次攻击活动疑似早在2025年11月便已开始活跃,直到近期才被安全研究人员发现。
热门跟贴