Adobe被盯上3个月才被发现：Reader零日漏洞已偷跑200

一份名为"Invoice540.pdf"的文件，去年11月就躺在了VirusTotal上，直到今年3月才有人意识到它不对劲。这不是普通的钓鱼文档，而是一个精心设计的零日漏洞攻击样本，专门针对全球装机量数亿的Adobe Reader。

安全公司EXPMON的研究员李海飞（Haifei Li）本周披露了这起攻击的细节。攻击者从2025年12月起就开始利用这个未公开的漏洞，时间跨度超过三个月。样本文档伪装成发票，一旦用户在Adobe Reader中打开，无需任何额外操作，就会触发内嵌的混淆JavaScript代码。

整个过程静默无声，用户看到的只是一个普通的PDF界面，后台却已经开始收集敏感信息，并向远程服务器请求下一步指令。

攻击链条：从"发票"到远程控制的四步跳转

李海飞将这次攻击定性为"高度复杂的PDF漏洞利用"。技术路径并不花哨，但足够隐蔽。文档利用Adobe Reader中一个尚未修复的零日漏洞，直接调用特权级Acrobat API——相当于拿到了PDF阅读器的管理员钥匙。

第一步是信息收集。样本会提取系统环境数据，进行高级指纹识别。第二步是外联，将收集到的信息发送到169.40.2.68:45191这个远程地址。第三步是等待指令，服务器可以回传额外的JavaScript代码在本地执行。第四步，理论上可以部署远程代码执行（RCE）和沙箱逃逸（SBX）漏洞，完全控制目标设备。

安全研究员Gi7w0rm在X平台上补充了一个关键细节：这些PDF文档包含俄语诱饵内容，涉及俄罗斯油气行业的时事议题。攻击目标的地域和行业属性由此浮出水面。

但李海飞的团队在分析时遇到了一个卡点。当他们尝试与远程服务器通信以获取下一阶段攻击载荷时，没有收到任何响应。这可能意味着测试环境没有满足攻击者的筛选条件——比如地理位置、系统配置或特定软件版本。

换句话说，这是一个有门槛的攻击，不是广撒网，而是精准钓鱼。

零日漏洞的"保质期"为什么越来越长

Adobe Reader的漏洞历史堪称一部现代网络安全教科书。2017年的CVE-2017-0199、2021年的CVE-2021-28550，都曾引发大规模攻击。但这次的不同之处在于，攻击者选择了一条更隐蔽的路线：不直接搞破坏，而是先潜伏、收集、筛选，再决定下一步动作。

这种"渐进式"攻击模式正在变得普遍。攻击者不再追求一击必杀，而是把零日漏洞当作长期资产来运营。一份PDF文档可以在VirusTotal上公开躺四个月而不被识别，本身就说明了检测机制的滞后。

VirusTotal是一个公开的文件分析平台，安全厂商和研究人员会上传可疑样本进行多引擎扫描。但自动化扫描对混淆JavaScript和零日漏洞的识别能力有限，尤其是当攻击代码针对特定软件版本设计时。

李海飞特别提醒，该漏洞在"最新版Adobe Reader"上仍可复现。这意味着即使用户保持软件更新，目前也没有补丁可用。Adobe尚未发布安全公告，漏洞的CVE编号、具体影响范围、修复时间表全部未知。

PDF：被低估的攻击面

普通用户对PDF的安全警惕性普遍低于可执行文件。这种心理惯性被攻击者精准利用。"Invoice540.pdf"这个名字本身就经过设计——发票是商务场景中最常见的文档类型之一，收件人几乎不会犹豫就打开。

Adobe Reader的JavaScript支持功能（正式名称为Acrobat JavaScript）本意是增强文档交互性，比如自动计算表单、验证输入格式。但这个功能自诞生以来就争议不断，多次成为攻击入口。企业IT部门通常建议禁用JavaScript，但默认设置下它是开启的。

本次攻击的技术细节显示，攻击者调用的是"特权级Acrobat API"。这暗示漏洞可能涉及权限提升或API滥用，而非传统的内存损坏类漏洞。这类漏洞的修复往往更复杂，因为涉及软件架构层面的调整。

远程服务器IP 169.40.2.68位于荷兰，但IP地理位置可以被轻易伪造或代理。真正的攻击者身份目前没有任何公开线索。俄语诱饵内容指向俄罗斯目标，但攻击基础设施的部署地点和攻击者的实际位置是两回事。

防御建议：在补丁到来之前

在Adobe发布正式修复之前，企业和个人能做的事情有限但有效。禁用Adobe Reader的JavaScript功能是首要建议，路径在编辑→首选项→JavaScript中。对于企业环境，组策略可以批量推送这个配置。

其次是对来源不明的PDF保持警惕，尤其是文件名带有数字编号、 urgency暗示（如"紧急""过期"）或特定行业术语的文档。本次攻击中的"Invoice540.pdf"同时命中了编号和行业场景两个特征。

终端检测与响应（EDR）产品需要更新规则以识别异常的Acrobat进程行为，比如网络连接、脚本执行、API调用序列等。传统的基于签名的杀毒软件对这类攻击几乎无效。

李海飞在分析结论中写道："这种零日/未修复漏洞的广泛信息收集能力，以及后续RCE/SBX利用的潜在可能，足以让安全社区保持高度警惕。"

攻击者的服务器目前处于沉默状态，是暂时蛰伏还是已经转移阵地？下一个阶段的载荷会针对什么目标释放？Adobe的补丁还要等多久？这些问题现在都没有答案。唯一确定的是，那份"发票"已经开了四个月，而很多人可能刚刚才听说这件事。