黑客已悄然利用Adobe Acrobat Reader中疑似存在的一個(gè)零日漏洞長(zhǎng)達(dá)數(shù)月之久，通過(guò)植入惡意代碼的PDF文件對(duì)目標(biāo)進(jìn)行情報(bào)偵察，從而決定哪些對(duì)象值得發(fā)動(dòng)全面攻擊。

沙箱漏洞檢測(cè)系統(tǒng)EXPMON的創(chuàng)始人、安全研究員李海飛表示，此次攻擊活動(dòng)使用的惡意PDF文件在打開(kāi)的瞬間即可觸發(fā)執(zhí)行，即便是已完全更新的Reader版本同樣無(wú)法幸免，用戶除了查看文件外無(wú)需進(jìn)行任何其他操作。

該漏洞利用經(jīng)過(guò)高度混淆處理的JavaScript代碼，在文件被打開(kāi)后立即運(yùn)行。攻擊行為并非立刻發(fā)作，而是通過(guò)Acrobat內(nèi)置API從受害者設(shè)備上收集信息，包括本地文件和系統(tǒng)詳情，并將其回傳至攻擊者控制的服務(wù)器。

第一階段本質(zhì)上是偵察行動(dòng)：獲取操作系統(tǒng)信息、語(yǔ)言設(shè)置及文件路徑，以判斷所在系統(tǒng)的利用價(jià)值。若該設(shè)備符合攻擊者的預(yù)期條件，則會(huì)進(jìn)一步拉取第二階段載荷并在Reader內(nèi)部執(zhí)行。研究人員指出，該階段可能進(jìn)一步升級(jí)攻擊，直至實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，甚至突破沙箱限制。

李海飛表示："這種機(jī)制使威脅行為者能夠收集用戶信息、竊取本地?cái)?shù)據(jù)、實(shí)施高級(jí)'指紋識(shí)別'，并為后續(xù)攻擊做好準(zhǔn)備。如果目標(biāo)滿足攻擊者的條件，攻擊者可能會(huì)下發(fā)額外漏洞利用代碼，以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行或沙箱逃逸。"

換言之，并非所有受害者都會(huì)遭受同等對(duì)待。部分系統(tǒng)僅被進(jìn)行信息畫(huà)像，而另一些則會(huì)收到第二階段載荷，這表明攻擊者采取了更具針對(duì)性的策略。

目前已有跡象顯示潛在目標(biāo)群體的范圍。另一位研究員Gi7w0rm發(fā)現(xiàn)，與該漏洞相關(guān)的誘餌文檔包含俄語(yǔ)內(nèi)容，涉及該國(guó)油氣行業(yè)的時(shí)事信息。這雖不能證明攻擊歸屬，但確實(shí)表明攻擊者事先鎖定了特定受眾，而非廣撒網(wǎng)式的無(wú)差別攻擊。

此次事件之所以引發(fā)廣泛關(guān)注，在于該漏洞長(zhǎng)時(shí)間未被察覺(jué)。李海飛指出，一份相關(guān)樣本于2025年11月28日被上傳至VirusTotal，這意味著此次攻擊活動(dòng)在被發(fā)現(xiàn)之前至少已活躍長(zhǎng)達(dá)四個(gè)月。這將攻擊行為的起點(diǎn)追溯至2025年底，盡管直到近期才浮出水面。

目前，該漏洞既無(wú)CVE編號(hào)，也無(wú)補(bǔ)丁發(fā)布，Adobe方面尚未作出任何公開(kāi)聲明。這意味著用戶目前仍處于暴露狀態(tài)，尤其是有習(xí)慣性打開(kāi)來(lái)源不明PDF文件的用戶，風(fēng)險(xiǎn)尤為突出。

Q&A

Q1：Adobe Reader零日漏洞是如何通過(guò)PDF文件發(fā)動(dòng)攻擊的？

A：該漏洞利用高度混淆的JavaScript代碼，在用戶打開(kāi)PDF文件的瞬間自動(dòng)執(zhí)行，無(wú)需任何額外操作。惡意代碼首先通過(guò)Acrobat內(nèi)置API收集受害者設(shè)備的操作系統(tǒng)信息、語(yǔ)言設(shè)置和文件路徑，將數(shù)據(jù)回傳給攻擊者。若目標(biāo)系統(tǒng)符合條件，攻擊者將下發(fā)第二階段載荷，可能進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行或沙箱逃逸，危害極大。

Q2：Adobe Reader零日漏洞主要針對(duì)哪些用戶群體？

A：目前的證據(jù)顯示，攻擊者并非無(wú)差別攻擊，而是具有特定目標(biāo)。研究人員發(fā)現(xiàn)，與該漏洞相關(guān)的誘餌文檔包含俄語(yǔ)內(nèi)容，并涉及俄羅斯油氣行業(yè)的時(shí)事信息，表明攻擊者可能將該行業(yè)的相關(guān)人員列為重點(diǎn)目標(biāo)。此外，攻擊者會(huì)對(duì)收集到的系統(tǒng)信息進(jìn)行篩選，只對(duì)符合條件的目標(biāo)實(shí)施進(jìn)一步攻擊。

Q3：Adobe Reader零日漏洞目前有沒(méi)有補(bǔ)丁或修復(fù)方案？

A：截至目前，該漏洞既無(wú)CVE編號(hào)，也無(wú)官方補(bǔ)丁發(fā)布，Adobe也未作出任何公開(kāi)聲明。用戶當(dāng)前仍處于風(fēng)險(xiǎn)暴露狀態(tài)，建議避免打開(kāi)來(lái)源不明的PDF文件，以降低遭受攻擊的風(fēng)險(xiǎn)。此次攻擊活動(dòng)疑似早在2025年11月便已開(kāi)始活躍，直到近期才被安全研究人員發(fā)現(xiàn)。