Российскую нефтегазовую промышленность атакуют с помощью вредоносных PDF

Берегись PDF

Самое позднее, с декабря 2025 г. хакеры эксплуатируют уязвимость в Adobe Reader, которая позволяет выводить из скомпрометированной системы значимые данные. Вредонос скрывается в специально составленных PDF-файлах.

Как отметил исследователь компании Expmon Хайфей Ли (Haifei Li), речь идёт о весьма изощрённом эксплойте, который, по-видимому, сопровождается применением социальной инженерии с целью заставить жертв открыть файл в Adobe Reader.

Как только это происходит, производится автоматический запуск замаскированного JavaScript, который может осуществлять вывод данных и подгружать дополнительные компоненты, пока остающиеся не перехваченными.

Хакеры атакуют российский нефтегазовый сектор через дыру в Adobe Reader с помощью вредоносных PDF-файлов

Первый артефакт был загружен на VirusTotal 28 ноября 2025 года; второй известный сэмпл — 23 марта 2026 года.

Ещё один исследователь, известный как Gi7w0rm, отметил, что PDF-документы содержат тексты на русском языке, связанные с актуальными событиями в нефтегазовой промышленности России.

«Этот сэмпл представляет собой эксплойт первой очереди, который способен собирать и передавать различные типы информации; за этим могут последовать дополнительные эксплойты для удаленного выполнения кода и выхода из изолированных сред (песочниц)», — пишет Ли. — «Он использует уязвимость нулевого дня в Adobe Reader, которая позволяет ему выполнять обращения к привилегированным API Acrobat. Совместимость эксплойта с последней версией Adobe Reader подтверждена».

Ещё один исследователь при помощи ИИ Anthropic Claude произвёл анализ вредоносного сэмпла, и подтвердил, что речь идёт об эксплуатации привилегированных API, которые, по идее, должны сами находиться в «песочнице», но, по-видимому, не находятся.

Исследователь отметил также, что кампания опирается на специально созданную инфраструктуру, которая ни в какие сводки пока не попадала (данные выводятся на адрес 169.40.2[.]68:45191), да и срабатывание антивирусных систем на известные сэмплы предельно оставляет желать много большего: только 6 из 77 движков, размещённых на VirusTotal (ESET-NOD32, Avast, AVG, Cynet, Cylance, Gridinsoft), детектируют эти вредоносы.

Документы-обманки представлены в виде растровых изображений, выделение текста невозможно. Документы носят русскоязычные названия («Меры, которые необходимо выполнить для организации вмешательств» и «Дополнение к договоренности»), но эти формулировки заставляют предположить, что русский язык для операторов кампании родным не является.

Обращает на себя внимание и тот факт, что в метаданных язык выставлен как en-US (американский английский), несмотря на содержание документа.

Паспорта нету

Эксплуатируемая уязвимость на самом деле состоит из двух компонентов: первая — это ошибка, допускающая инъекцию JavaScript через API под названием Internal UI; в результате возникает возможность для запуска скрипта из изолированного контекста, который, в свою очередь, приводит к повышению привилегий, так что любой API Acrobat оказывается полностью доступен.

Что особенно важно, последовательность атаки включает использование нигде не задокументированного, но функционального API в Adobe Acrobat, который связан с аутентификацией.

«Если информация о незадокументированном API соответствует действительности, его, скорее всего, специально оставили без документирования в качестве возможной предохранительной меры, но результат оказался прямо противоположным ожидаемому: продвинутые злоумышленники нашли его и воспользовались в атаках, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ».

По мнению эксперта, всё свидетельствует о кибератаках шпионской природы, выполненных при поддержке и в интересах национального государства, но для атрибуции данных не хватает.

К настоящему моменту уязвимость остаётся неисправленной.