このエクスプロイトは侵害されたコンピューターをフィンガープリント化して、将来の攻撃を可能にしている。
Adobe Reader脆弱性は、ユーティリティの普遍的な使用を利用して、フィッシング詐欺を通じて従業員を感染したPDFドキュメントのダウンロードに誘導する脅威アクターによって数十年にわたって悪用されてきた。
現在、セキュリティ研究者は、Reader脆弱性が最大4ヶ月間、マルウェアによって静かに悪用されており、コンピューターをフィンガープリント化して、攻撃者がデータを盗んでさらなる悪質な活動を実行できるようにする情報を収集していると述べている。
今週のブログで、Haifei Liは、ファイルベースのゼロデイエクスプロイトを検出するためにスキャンを行う彼が運営する一般公開されているエクスプロイトモニター「EXPMON」が、Reader APIの脆弱性を悪用する初期エクスプロイトを発見したと述べた。
感染したPDFが開かれると自動的に実行されるマルウェア内のJavaScriptコードは、侵害されたコンピューター上のファイルを読み込み、言語設定、Adobe Readerバージョン番号、正確なOSバージョン、PDFファイルのローカルパスなどの情報を収集する。その後、データはリモートサーバーに送信される。
この情報は、リモートアクセスツールのインストールを含む将来の攻撃を計画している脅威アクターにとって有用になるとLiは述べた。
Liは4月7日のレポートで、当時最新版のAdobe Reader(26.00121367)でマルウェアをテストしたが、まだ機能していると述べた。
翌日の更新で、Liは昨年11月にさかのぼるバリアントが別の研究者によって発見されたと追加し、マルウェアは少なくともその時点から使用されていることを示唆している。
レポートについてのコメントをAdobeに求めたが、期限までに返答は受け取られなかった。
これはAdobe Readerが狙われた最初の例ではない。それに関連する脆弱性は、ブラウザプラグインの欠陥が発見された2007年までさかのぼる。偽のReaderアップデートも別の脅威アクターの頻出。ユーザー・アフター・フリーメモリ脆弱性も一般的である。Zeropathの研究者は昨年それらのうちの1つについて説明し、CVE-2025-54257である。
従来の戦術
パッチが利用可能になったらすぐに適用することに加えて、情報セキュリティリーダーは、同僚やマネージャーなどの信頼できるソースから送信されたものであっても、予期しないPDFを開くことに関する警告を含む定期的なセキュリティ認識トレーニングを従業員が受けることを確保する必要がある。
脅威アクターは伝統的に、「緊急」や「ボーナス情報」などの件名行を使用するなど、従業員をメール添付ファイルを開くように騙すために様々な戦術を使用している。添付ファイル自体には重要性を示す名前が付けられる場合があり、この場合、11月のバリアントは「Invoice504.pdf」というファイル名を使用していた。
マルウェアスキャンサイトVirusTotalに提出されたこの新しいマルウェアに関するレポートによると、誰もが疑わしいファイルをアップロードして精査してもらうことができるが、受信者は特にAdobe Acrobat Readerで添付ファイルを開くことになっている。
高リスクのエクスプロイト
Kellman Meghu、カナダのインシデント対応企業DeepCove Securityの最高技術責任者は、このエクスプロイトを「非常に高いリスク」と呼んだ。
これまでのところ、この特定のマルウェアはデータを流出させるだけのようだと彼は述べた。しかし、それはそれをリモートコード実行の手段に変える能力または機能があることを暗示している。「これはゼロクリック[脆弱性]です」とMeghuは付け加え、「ブラウザまたはメール内で表示するだけで十分にトリガーされる可能性があることを意味しています。」
CSOはこの脅威に対処するために、デフォルトでまたはパッチが出るまでAcrobat JavaScriptを無効にすべきだと彼は述べた。「しかし率直に言うと」と彼は付け加え、「Adobe ReaderのJavaScript実行は一般的に悪い考えだと思う」ので、それは無効にされるべきである。
Johannes Ullrich、SANS Instituteの研究部長は、Adobe AcrobatとReaderはしばしば高度なエクスプロイトの標的となってきたと述べた。これらはJavaScriptなどの機能を頻繁に利用するか、PDF内に様々なドキュメントタイプを含める、またはネストする能力を利用する。多くのマルウェアフィルターはこれらの種類のドキュメントを悪意のあるものとして検出およびフラグすると彼は述べた。
「CSOは、Webプロキシおよびメールゲートウェイが、完全に標準に準拠していないPDFを許可しないようにフィルターが有効になっていることを確認し、JavaScriptなどの既知の問題のある機能を悪用しているPDFを排除すべきである」と彼は述べた。「このような添付ファイルは、組織外のソースから受け取られたことを目立つように記載すべきである。」
「残念なことに」と彼は付け加え、「PDFはまだ非常に一般的であり、完全に排除することはできない。」
Adam Marrè、Arctic WolfのCISO は、この新しい脆弱性が特に懸念される理由は、それが積極的に悪用されており、完全にパッチが当たっているシステムでも機能しているように見えることだと述べた。それは即座にリスクプロファイルを上昇させる。「攻撃チェーン全体の完全な可視性がなくても、PDFを開くのと同じくらい日常的なことを通じて初期アクセスが得られるという事実は、組織がこれを現実的で現在のセキュリティイベントとして扱うべきであることを意味している」と彼は述べた。「そこから、潜在的な影響は、攻撃者が追加のペイロードを配信できる場合、限定的なデータ露出から後続の活動まで及ぶ可能性がある。」
これはリアルタイムでリスクを管理する問題になると彼は指摘した。「信頼できるツールが組織の許容できるリスクしきい値の外に突然落ちた場合、優先順位は露出を減らし、可視性を高めることにシフトする。これは、ソフトウェアが本当に必要な場所を再評価し、信頼できないコンテンツの処理方法を厳しくし、異常な動作をすぐに検出するための監視が実施されていることを確認することを意味する可能性がある」と彼は述べた。
「封じ込め後に何が起こるかと同じくらい重要です」と彼は付け加えた。「このようなインシデントは、どのコントロールが成立したか、どこにギャップが出現したか、そしてそれらの教訓をどのように運用化するかを評価する機会です。日常的なユーザー行動に関連する脅威は消えていかないため、回復力は迅速に学習し、同じくらい迅速に適応することに依存しています。」
