"Adobe Reader" tətbiqində aşkarlanmış zero-day boşluğu əsasında hədəfli hücumlar qeydə alınıb

Aparılan araşdırmalar nəticəsində məlum olmuşdur ki, Adobe Reader proqramında identifikasiya olunmamış təhlükəsizlik boşluğundan istifadə edilməklə hədəfli hücumlar həyata keçirilir. Bildirilir ki, sözügedən “zero-day” zəifliyindən ən azı 2025-ci ilin noyabr ayından etibarən istifadə olunur.

Məlumata əsasən hücum xüsusi hazırlanmış PDF faylının açılması ilə dərhal aktivləşir. VirusTotal platformasında aşkarlanmış nümunələrdən birinin “Invoice540.pdf” adı ilə qeyd olunması göstərir ki, hücumçular istifadəçiləri aldatmaq üçün saxta hesab-faktura kimi social mühəndislik üsullarından istifadə edirlər. Təhlükəli məqamlardan biri ondan ibarətdir ki, istismar mexanizmi proqramın ən son versiyalarında da əlavə istifadəçi müdaxiləsi olmadan işləyə bilir.

Araşdırma zamanı müəyyən edilmişdir ki, fayl açıldıqdan sonra onun daxilində gizlədilmiş və mürəkkəb şəkildə obfuskasiya olunmuş JavaScript kodu icra edilir. Bu kod proqramın daxili API-lərindən olan util.readFileIntoStream və RSS.addFeed funksiyalarını ələ keçirir. Normal şəraitdə faylların emalı və veb yeniliklərinin idarə olunması üçün nəzərdə tutulan bu funksiyalar vasitəsilə hücumçular kompüterdən məlumatları gizli şəkildə toplayaraq 169.40.2.68 ünvanında yerləşən uzaq serverə ötürə bilirlər.

Qeyd olunur ki, bu fəaliyyət hücum zəncirinin yalnız ilkin mərhələsini təşkil edir. Belə ki, sistem barədə məlumatların toplanılması və qurğunun “fingerprinting” üsulu ilə identifikasiyası sonrakı mərhələlər üçün zəmin yaradır. Bunlara uzaqdan kod icrası (Remote Code Execution – RCE), eləcə də daxili təhlükəsizlik mexanizmlərinin aşılması yolu ilə sistem üzərində daha geniş nəzarətin əldə edilməsi daxildir.

Təhlillər göstərir ki, hücumçular daha çox konkret hədəf qruplara yönəlmiş fəaliyyət həyata keçirirlər. Zərərli sənədləri araşdırarkən müəyyən edilmişdir ki, bu PDF faylları rus dilində hazırlanmışdır və onların məzmununda Rusiya neft-qaz sənayesi ilə bağlı xəbərlər və hadisələr yer alır. Bu yanaşmanın məqsədi göndərilən e-poçtların legitim təsir bağışlamasını təmin etməkdir.

Qeyd edək ki, bu, Adobe Reader proqramında oxşar xarakterli təhlükəsizlik problemlərinin ilk qeydə alınması deyil. Daha əvvəl CVE-2024-41869 identifikatoru ilə izlənilən zəiflik də aşkar edilmişdi.

Məlumata görə aşkar olunmuş boşluqla bağlı aidiyyəti tərəf məlumatlandırılsa da, hazırkı mərhələdə problemi aradan qaldıran rəsmi təhlükəsizlik yeniləməsi hələ təqdim edilməyib. Bu səbəbdən istifadəçilərə naməlum mənbələrdən göndərilən PDF fayllarını açarkən son dərəcə ehtiyatlı olmaları tövsiyə olunur. Eyni zamanda, təşkilat və müəssisələrin şəbəkə inzibatçılarına şübhəli trafik göstəricilərini diqqətdə saxlamaq, xüsusilə də hücumçuların yoluxmuş sistemlərlə əlaqə qurmasının qarşısını almaq məqsədilə başlıq hissəsində Adobe Synchronizer ifadəsi yer alan internet trafikini bloklamaq tövsiyə edilir.