แฮ็กเกอร์โจมตีโดยใช้ช่องโหว่ Zero-day ใน Adobe Acrobat โดยใช้ไฟล์ PDF ที่เป็น malicious มาตั้งแต่เดือนธันวาคม
การโจมตีนี้ถูกพบโดยนักวิจัยด้านความปลอดภัย Haifei Li (ผู้ก่อตั้งแพลตฟอร์มตรวจจับ Exploit ด้วยระบบ Sandbox ที่ชื่อว่า EXPMON) ซึ่งได้เตือนเมื่อวันที่ 7 เมษายน 2026 ว่า ผู้โจมตีได้ใช้สิ่งที่เขาอธิบายว่าเป็น "Highly sophisticated, fingerprinting-style PDF exploit" เพื่อมุ่งเป้าไปที่ช่องโหว่ด้านความปลอดภัยของ Adobe Reader ที่ยังไม่มีการเผยแพร่แพตช์แก้ไขช่องโหว่
ผู้โจมตีจะขโมยข้อมูลจากระบบที่ถูก compromise โดยใช้ API ของ Acrobat ที่มีสิทธิ์สูงเช่น util.readFileIntoStream และ RSS.addFeed
Haifei Li เตือนว่า "มีการยืนยันแล้วว่า 'Fingerprinting' exploit นี้ ใช้ประโยชน์จากช่องโหว่แบบ Zero-day หรือช่องโหว่ที่ยังไม่มี Patch แก้ไข ซึ่งสามารถทำงานบน Adobe Reader เวอร์ชันล่าสุดได้ โดยไม่ต้องอาศัยการโต้ตอบใด ๆ จากผู้ใช้ นอกเหนือไปจากการเปิดไฟล์ PDF เท่านั้น"
"สิ่งที่น่ากังวลคือ Exploit นี้ช่วยให้ Threat actor ไม่เพียงแต่สามารถรวบรวม หรือโจรกรรมข้อมูลภายในเครื่องได้เท่านั้น แต่ยังมีศักยภาพในการโจมตีแบบ RCE หรือ Sandbox Escape ซึ่งอาจนำไปสู่การควบคุมระบบของเหยื่อได้อย่างสมบูรณ์"
Haifei Li ได้เคยเปิดเผยรายการช่องโหว่ด้านความปลอดภัยจำนวนมากในซอฟต์แวร์ของ Microsoft, Google และ Adobe ซึ่งหลายช่องโหว่ถูกนำมาใช้ในการโจมตีแบบ Zero-day
ข้อความ Phishing ภาษารัสเซีย
Gi7w0rm ผู้เชี่ยวชาญทางด้าน Threat intelligence ซึ่งวิเคราะห์ช่องโหว่ Adobe Reader นี้ด้วย พบว่าเอกสาร PDF ที่ถูกส่งมาในการโจมตีเหล่านี้มีเนื้อหาเป็นภาษารัสเซียที่อ้างถึงเหตุการณ์ที่กำลังเกิดขึ้นในอุตสาหกรรมน้ำมัน และก๊าซของรัสเซีย
Li ได้แจ้งเรื่องนี้ให้ Adobe ทราบแล้ว และจนกว่าบริษัทจะออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ที่กำลังถูกใช้โจมตีอยู่ในขณะนี้ เขาแนะนำให้ผู้ใช้ Adobe Reader ไม่เปิดเอกสาร PDF ที่ได้รับจากผู้ติดต่อที่ไม่น่าเชื่อถือจนกว่าจะมีการออกแพตช์อัปเดต
ผู้ดูแลระบบเครือข่ายยังสามารถลดผลกระทบจากการโจมตีที่ใช้ช่องโหว่ zero-day นี้ได้โดยการตรวจสอบ และบล็อกการรับส่งข้อมูล HTTP/HTTPS ที่มีข้อความ "Adobe Synchronizer" ใน User-Agent header
ความสามารถของช่องโหว่ Zero-day หรือช่องโหว่ที่ยังไม่มี Patch นี้ ถูกใช้ในการเก็บรวบรวมข้อมูลเป็นวงกว้าง รวมถึงศักยภาพในการต่อยอดไปสู่การโจมตีแบบ RCE/SBX นั้นเพียงพอที่จะทำให้ Community ด้านความปลอดภัยควรต้องเฝ้าระวังในระดับสูงสุด นี่คือเหตุผลที่มีการตัดสินใจเปิดเผยการค้นพบนี้ทันทีเพื่อให้ผู้ใช้งานเกิดความตื่นตัว และระมัดระวัง
ที่มา: bleepingcomputer
You must be logged in to post a comment.