С конца прошлого года профессиональные группы кибершпионажа используют не закрытую уязвимость в Adobe Reader. Целью их атак стал российский нефтегазовый комплекс.
Хакеры применяют эту брешь в защите Adobe Reader, начиная как минимум с декабря 2025 года, чтобы извлекать конфиденциальные данные из взломанных систем. Вредоносный код скрывается внутри специально подготовленных PDF-документов.
Как указал специалист компании Expmon Хайфей Ли (Haifei Li), это высокотехнологичная атака, которая, вероятно, сочетается с методами социальной инженерии, чтобы убедить жертв открыть файл именно в Adobe Reader.
После открытия файла автоматически запускается замаскированный JavaScript, способный извлекать информацию и загружать дополнительные вредоносные модули, оставаясь при этом незамеченным.
Первый образец вредоносного файла был загружен на VirusTotal 28 ноября 2025 года, а второй известный экземпляр — 23 марта 2026 года.
Другой исследователь, известный под именем Gi7w0rm, обратил внимание, что PDF-документы содержат текст на русском языке, касающийся текущих событий в российской нефтегазовой отрасли.
«Данный образец представляет собой эксплойт начального этапа, собирающий и передающий различные данные; за ним могут последовать дополнительные атаки для удалённого выполнения команд и выхода из изолированных сред (песочниц)», — пишет Ли. — «В нём используется уязвимость нулевого дня в Adobe Reader, позволяющая обращаться к привилегированным API Acrobat. Совместимость эксплойта с последней версией Adobe Reader подтверждена».
Ещё один аналитик с помощью ИИ Anthropic Claude изучил вредоносный образец и подтвердил, что атака эксплуатирует привилегированные API, которые, по замыслу, должны быть изолированы в «песочнице», но, судя по всему, таковой защиты не имеют.
Эксперт также отметил, что кампания использует специально развёрнутую инфраструктуру, ранее не фигурировавшую в отчетах (данные передаются на адрес 169.40.2[.]68:45191). Эффективность антивирусного обнаружения известных образцов также крайне низка: только 6 из 77 движков на VirusTotal (ESET-NOD32, Avast, AVG, Cynet, Cylance, Gridinsoft) идентифицируют эту угрозу.
Документы-приманки выполнены в виде растровых картинок, что делает невозможным выделение текста. Файлы имеют русскоязычные названия («Меры, которые необходимо выполнить для организации вмешательств» и «Дополнение к договоренности»), однако формулировки позволяют предположить, что русский язык не является родным для организаторов этой кампании.
Также стоит отметить, что в метаданных указан язык en-US (американский английский), хотя содержимое документа этому не соответствует.
Используемая уязвимость фактически включает два элемента: первый — это недостаток, позволяющий внедрить JavaScript через интерфейс Internal UI; это создаёт условия для выполнения скрипта из изолированной среды, что ведёт к эскалации прав и открывает полный доступ ко всем API Acrobat.
Ключевым моментом является то, что цепочка атаки задействует недокументированный, но рабочий API Adobe Acrobat, относящийся к механизму аутентификации.
«Если сведения о скрытом API верны, то, вероятно, его намеренно не описали в документации в качестве меры предосторожности, однако итог оказался обратным: опытные злоумышленники обнаружили его и применили в атаках», — комментирует Михаил Зайцев, специалист по кибербезопасности компании SEQ.
По его оценке, все признаки указывают на шпионские кибератаки, проводимые при поддержке и в интересах государства, но для точного установления источника данных недостаточно.
На данный момент уязвимость всё ещё не устранена.
