攻撃者は数か月間にわたってAdobe Acrobat Readerのゼロデイ脆弱性を悪用し、悪意のあるPDFファイルを使用して静かにデータを盗み、被害者のシステムを乗っ取る可能性があります。
少なくとも2025年12月以降活動しているこのキャンペーンは、一見ありふれた文書がシステム侵害の効果的なエントリーポイントとなり得ることを強調しています。
このエクスプロイトは「脅威行為者がローカル情報の収集または盗難だけでなく、その後のRCE/SBX攻撃を実行し、被害者のシステムの完全な制御につながる可能性がある」と、BleepingComputerによると報告されているセキュリティ研究者およびEXPMONの創設者Haifei Li氏が述べた。
Acrobat Readerゼロデイの内部
この脆弱性はAdobe Acrobat Readerに影響を与え、悪意のあるPDFを開くだけで引き起こされ、攻撃者の障壁を低下させ、フィッシングキャンペーンの有効性を高めます。
研究者らは、この欠陥が少なくとも4ヶ月間、標的を絞った攻撃で既に悪用されていることを発見しました。
技術的なレベルでは、エクスプロイトは正当なAcrobat APIを悪用して機密データを抽出し、フィンガープリント方式のアプローチを使用して被害者の環境を評価し、その実行をカスタマイズします。
このアダプティブなアプローチはエクスプロイトの成功率を向上させながら、検出をより困難にします。
悪意のあるPDFファイルは開いた時点で脆弱性をトリガーするようにプログラムされており、追加のユーザーインタラクションは必要ありません。
実行されると、エクスプロイトはutil.readFileIntoStreamやRSS.addFeedなどの特権APIを利用して、ローカルファイルとシステムデータにアクセスします。
これにより、攻撃者はエンドポイントから直接機密情報を収集できます。
データ盗難を超えて、この脆弱性はリモートコード実行やサンドボックスエスケープなどのフォローアップ攻撃を可能にし、攻撃者が侵害されたシステムの完全な制御を得る可能性があります。
攻撃スコープ
研究者らはまた、キャンペーン内で標的化された要素を特定し、悪意のあるPDFが石油・ガスセクターの開発に関連するロシア語のおとりを使用しています。
これは特定の地域または業界への焦点を示唆していますが、基盤となるエクスプロイトは他の目標にわたってより広い使用のために適応させることができます。
公開時点で、Adobeはこの脆弱性のパッチをリリースしていないため、組織はリスク軽減のために既存の管理とユーザー認識に頼っています。
PDF攻撃リスクを軽減するためのステップ
リスクを軽減するために、組織はユーザーの行動とシステム構成の両方に対処する層状の管理を適用する必要があります。
- 不明なまたは信頼されていないソースからPDFファイルを開くことを避け、強力なメールフィルタリングと添付ファイルのサンドボックスを実施してください。
- JavaScriptを無効化してAdobe Readerの設定を強化し、埋め込みコンテンツを制限し、保護されたまたはサンドボックスモードを強制します。
- 仮想デスクトップやサンドボックス環境などの分離技術を使用してPDFファイルを安全に開いて分析します。
- エンドポイントとネットワークアクティビティを監視し、異常なAPI呼び出し、アウトバウンドトラフィック、Adobe Synchronizer User-Agentの文字列を含む疑わしい行動を監視します。
- アウトバウンドネットワーク接続を制限し、DNSまたはドメインフィルタリングを適用してデータ流出経路を制限します。
- 最小権限を適用し、特権アクセス管理(PAM)とアプリケーション管理ポリシーを機密ファイルとシステムリソースへのアクセスを制限および監視します。
- インシデント対応計画をテストし、プロアクティブな脅威ハンティングを実施し、フィッシング攻撃のシナリオを含む攻撃シミュレーションツールを使用します。
これらのステップは、潜在的な侵害の爆発半径を制限しながら、回復力を強化するのに役立ちます。
PDFエクスプロイトはまだ機能します
このキャンペーンは、攻撃者が信頼できるファイル形式と組み込まれたアプリケーション機能を活用して従来のセキュリティ管理をバイパスしている、より広い傾向を反映しています。
PDFベースのエクスプロイトは、通常のビジネスワークフローと密接に一致するため有効性を保っており、悪意のあるアクティビティを正当な使用と区別することが難しくなります。
組織は、システム、ユーザー、アプリケーション全体の暗黙的な信頼を制限するゼロトラスト・ソリューションを採用することで、これらのリスクを軽減できます。
