EXPMONのセキュリティ研究者が、Adobe Reader ユーザーを積極的に標的にしている、高度で未パッチのゼロデイ脆弱性を発見しました。
先月末に初めて野生で検出されたこのエクスプロイトは、脅威アクターが静かにローカルファイルを盗み、機密システム情報を収集し、侵害されたマシンに対してリモートコード実行(RCE)攻撃を展開することを可能にします。
EXPMON創設者のHaifei Liが発表した脅威インテリジェンスレポートによると、悪意のあるPDFは標準アンチウイルスエンジンをバイパスします。
もともと「yummy_adobe_exploit_uwu.pdf」という名前のファイルは、VirusTotalで最初は低い5/64の検出率を記録しました。このエクスプロイトは、最新バージョンのAdobe Reader(26.00121367)で動作することが検証されています。
驚くべきことに、攻撃にはトラップされたPDFドキュメントを開くだけで、ユーザーの操作は必要ありません。
攻撃は、PDFのオブジェクト内に深く隠された、高度に難読化されたJavaScriptに依存しており、2つの特権Acrobatアプリケーションプログラミングインターフェース(API)を悪用します。
- このエクスプロイトは、被害者のローカルシステムに保存されている任意のファイル(
ntdll.dllなど)を読み取るためにutil.readFileIntoStream()APIを使用して、正確なオペレーティングシステムバージョンを計算します。 - マルウェアは、
RSS.addFeed()APIを呼び出して、この盗まれたデータをIPアドレス169.40.2.68:45191に位置する攻撃者が管理するリモートサーバーに漏洩させます。
高度なフィンガープリンティングと次段階ペイロード
このゼロデイは、主に高度なフィンガープリンティングツールとして機能します。言語設定、Adobe Readerのバージョン、ローカルファイルパスなどの環境データを収集する初期スカウトとして機能します。
このプロフィールは、侵害されたマシンが高価値ターゲットであるかどうかを判断するために、攻撃者に送り返されます。
被害者が攻撃者の厳密な基準を満たす場合、コマンドサーバーは同じRSS.addFeed()接続を使用して、暗号化された二次JavaScriptペイロードを配信します。
研究者は制御された環境で、このチャネルがリモートコードを正常に実行でき、完全なサンドボックス脱出(SBX)エクスプロイトと完全なシステムの乗っ取りへの道を開くことを証明しました。
実世界でのテスト中、研究者のテスト環境が攻撃者の特定のターゲットプロフィールと一致しなかったため、サーバーは接続しましたが最終ペイロードを保留していました。
EXPMONはこれらの結果をAdobe Securityに開示しましたが、公式パッチはまだ利用できません。修正がデプロイされるまで、セキュリティコミュニティは高い警戒を保つ必要があります。
ネットワークディフェンダーは、既知の悪意あるIPアドレス(169.40.2.68:45191)をブロックすることをお勧めします。
脅威アクターはインフラストラクチャを簡単にローテーションできるため、セキュリティチームはより広いハンティングルールを実装する必要があります。
ディフェンダーは、User-Agentフィールドに「Adobe Synchronizer」を含む異常なHTTPまたはHTTPSトラフィックをモニタリングすることをお勧めします。
Adobeが包括的なセキュリティアップデートを発行するまで、ユーザーは細心の注意を払い、未知のソースから勧誘されていないPDFドキュメントを開くことを避けるよう強く促されています。
翻訳元: https://gbhackers.com/hackers-target-adobe-reader/
