Təhlükəsizlik tədqiqatçıları "Adobe Reader" proqramında yeni və olduqca mürəkkəb bir sıfırıncı gün (zero-day) boşluğu aşkar ediblər. "EXPMON" şirkətinin mütəxəssisi Haifei Li tərəfindən təqdim edilən hesabata görə, hakerlər bu zəiflikdən 2025-ci ilin dekabr ayından etibarən xüsusi hazırlanmış PDF sənədləri vasitəsilə istifadə edirlər. "Invoice540.pdf" adlı ilk zərərli fayl 28 noyabr 2025-ci ildə "VirusTotal" platformasına yüklənib. İkinci oxşar nümunə isə 23 mart 2026-cı ildə qeydə alınıb.
Hücum necə həyata keçirilir?
Kiber cinayətkarlar istifadəçiləri aldatmaq üçün sosial mühəndislik üsullarına müraciət edirlər. Qurbanlar zərərli PDF faylını "Adobe Reader" vasitəsilə açdıqda, arxa planda gizlədilmiş "JavaScript" kodu avtomatik olaraq işə düşür. Bu kod həssas məlumatları toplamaq və əlavə zərərli yükləri qəbul etmək üçün xüsusi olaraq proqramlaşdırılıb. Təhlükəsizlik mütəxəssisi Gi7w0rm bildirib ki, aşkar edilən PDF sənədlərində Rusiyanın neft və qaz sənayesi ilə bağlı aktual hadisələrə istinad edən rus dilində aldadıcı mətnlər yer alır.
Hansı risklər mövcuddur?
Haifei Li qeyd edir ki, bu nümunə məlumat toplamaq və sızdırmaq qabiliyyətinə malik ilkin istismar vasitəsi kimi çıxış edir. Onun sözlərinə görə, hücumun növbəti mərhələsində məsafədən kod icrası (RCE) və qum qutusundan (sandbox) qaçış (SBX) kimi daha ciddi təhlükələr yarana bilər. Zərərli fayl "Adobe Reader" proqramının ən son versiyasında belə imtiyazlı "Acrobat API"-lərini işə salmağa imkan verən yamaqlanmamış boşluqdan sui-istifadə edir.
Məlumatlar hara sızdırılır?
Toplanan məlumatlar "169.40.2[.]68:45191" IP ünvanındakı uzaq serverə ötürülür və oradan icra edilmək üçün əlavə "JavaScript" kodu qəbul edilir. Tədqiqatçılar hesab edirlər ki, bu mexanizm yerli məlumatları toplamaq, inkişaf etmiş barmaq izi (fingerprinting) hücumları həyata keçirmək və kod icrasına nail olmaq üçün zəmin yaradır. Lakin serverdən heç bir cavab alınmadığı üçün hücumun növbəti mərhələsinin dəqiq təbiəti hələlik məlum deyil. Bu vəziyyət, ehtimal ki, sorğunun göndərildiyi yerli test mühitinin zərərli yükü qəbul etmək üçün lazımi meyarlara cavab verməməsi ilə əlaqədardır.
Nə üçün bu vacibdir?
Mütəxəssislərin fikrincə, serverin cavab verməməsinə baxmayaraq, mövcud təhlükə olduqca ciddidir. Genişmiqyaslı məlumat toplanması üçün istifadə edilən bu yamaqlanmamış sıfırıncı gün boşluğu kiber təhlükəsizlik ictimaiyyətinin yüksək hazırlıq vəziyyətində olmasını tələb edir. Gələcəkdə potensial RCE və SBX istismarlarının qarşısını almaq üçün sistemlərin mütəmadi olaraq yoxlanılması və yenilənməsi tövsiyə olunur.
