ハッカーはAdobe Acrobat Readerのゼロデイとみられる脆弱性を数か月間にわたって静かに悪用しており、細工されたPDFを使ってターゲットをプロファイルし、完全に侵害する価値のある者を判別しています。
サンドボックスベースの悪用検出システムEXPMONの創設者であるセキュリティ研究者Haifei Liは、述べており、このキャンペーンは悪意のあるPDFを使用しており、開くとすぐに実行され、最新のReaderインストールに対しても機能し、ファイルを表示する以上のクリック操作を必要としません。
この悪用は、開くとすぐに実行される高度に難読化されたJavaScriptに依存しています。すぐに爆発する代わりに、組み込みのAcrobat APIを使ってローカルファイルやシステムの詳細を含む情報をマシンから取得し始め、攻撃者の管理下にあるサーバーに送り返します。
最初のパスは基本的に偵察です。OSの情報、言語設定、ファイルパスを取得して、何が対象に成功したのかを判断します。ボックスが有用に見える場合、2段階目のペイロードを取得し、Reader内で実行します。研究者によれば、この段階はリモートコード実行またはサンドボックスエスケープまで、さらに事態をエスカレートさせる可能性があるということです。
「このようなメカニズムにより、脅威アクターはユーザー情報を収集し、ローカルデータを盗み、高度な『フィンガープリント』を実行し、将来の攻撃を開始することができます」とLiは述べています。「ターゲットが攻撃者の条件を満たす場合、攻撃者はRCEまたはSBXを達成するために追加の悪用を提供する可能性があります。」
言い換えれば、すべての被害者が同じ扱いを受けるわけではありません。一部のシステムはプロファイリングのみされ、他のシステムは2段階目のペイロードを受け取ります。これはより的を絞ったアプローチを示唆しています。
これらのターゲットが誰である可能性があるかについても初期の手がかりがあります。別の研究者であるGi7w0rmは、悪用に関連した誘い文書がロシア語のコンテンツを含んでおり、同国の石油・ガス部門の現在の出来事を参照していることを発見しました。これは帰属を証明するものではありませんが、攻撃者が広く網を張るのではなく、特定の対象者を念頭に置いていたことを示唆しています。
このすべてが単なる別のPDFバグ以上のものとなっている理由は、長期間発見されないでいたように見えることです。Liは指摘しており、2025年11月28日にVirusTotalにアップロードされた関連サンプルを挙げ、このキャンペーンが検出される前に少なくとも4か月間活動していたことを示唆しています。これは活動を2025年後半に遡らせます。3月に表面化しましたが。
まだCVEはなく、パッチもなく、Adobeは公式声明を出していないか、『The Register』の質問に応答していません。これはユーザーを今のところ無防備な状態に置き去りにしています。特に未知のソースからPDFを開く習慣がある場合はなおさらです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/09/monthsold_adobe_reader_zeroday_uses/
