Одолел ли Adobe Reader X новый эксплойт?

Одолел ли Adobe Reader X новый эксплойт?

В четверг, 3 февраля, произошло знаменательное событие: последний выпуск программного продукта Adobe Reader X успешно отразил атаку со стороны вредоносного PDF-файла, массово распространявшегося в мусорной корреспонденции. Однако ни антивирусные эксперты, ни специалисты Adobe до сих пор так и не могут точно определить, благодаря чему эксплойт потерпел поражение.



Первыми соответствующий вопрос подняли представители исследовательской лаборатории компании Invincea. Они подтвердили, что при открытии опасного объекта в Reader X эксплойт не сработал, однако в целом у них сложилось впечатление, будто пользователей спасло вовсе не новое средство защиты просмотрщика ("песочница"), а техническое несовершенство атакующего кода: вроде бы он был нацелен на поражение предыдущих версий Reader - 8 и 9.


Следом этим же вопросом задались специалисты Sophos, которые детально изучили как сам вредоносный PDF-файл, так и результаты его открытия в различных версиях Reader. По итогам исследования консультант Чет Висневски смог уверенно заявить, что эксплойт нацелен на уже закрытую уязвимость, существовавшую в прежних версиях просмотрщика, но, как и сотрудники Invincea, не сумел точно сказать, кого же следует благодарить за неэффективность атакующего кода в Reader X.


Следует пояснить, что не каждый вредоносный код является шедевром искусства программирования: некоторые образцы, например, работоспособны только при запуске на определенной версии операционной системы, а отдельные экземпляры аварийно завершают работу, столкнувшись с другой сборкой целевого приложения - даже если уязвимость, которую они эксплуатируют, все еще не закрыта в этой сборке.


В конечном счете г-н Висневски ограничился предположением, что с учетом тех вредоносных действий, которые злоумышленники намеревались совершить с помощью опасного объекта, технология виртуализации Adobe Reader X все-таки обеспечила бы защиту, будь эксплойт направлен именно против этой версии продукта. "Однако в любом случае это победа Adobe - ведь все-таки в отношении Reader X атакующий код оказался бессилен", - заключил эксперт.


После этого с Sophos связались специалисты самой Adobe, которые запросили подробную информацию о вредоносном файле и об уязвимости, для эксплуатации которой объект был создан. Они провели свое собственное внутреннее исследование, однако тоже не смогли однозначно подтвердить, что именно "песочница" остановила атаку. Представитель компании ограничилась комментарием:


"Исходя из описания эксплойта, и, в частности, из того факта, что он пытается загрузить и отправить на исполнение вредоносный код, мы можем заключить, что безопасная среда предотвратила бы успешное совершение этих действий - подобная активность входит в число блокируемых операций, - даже если бы целевая уязвимость присутствовала в коде Adobe Reader X".


Также пресс-секретарь подчеркнула, что с момента выхода десятой версии Reader сообщений о преодолении или обходе виртуализационной защиты просмотрщика ни разу не поступало.


В итоге вопрос так и остался открытым. Стоит, однако, заметить, что г-н Висневски охарактеризовал Reader X как "самую защищенную версию программы", а также призвал всех без исключения пользователей этого продукта обновиться до десятого выпуска и следить за выходом обновлений к нему.


Computerworld

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Число атакующих Россию кибергрупп выросло в 2,5 раза за год

Число хакерских группировок, действующих против российских организаций, в первом полугодии 2025 года выросло в 2,5 раза по сравнению с тем же периодом прошлого года. Согласно оценке BI.ZONE, их стало не менее 95. Основной целью атак остаются объекты критической информационной инфраструктуры — на них пришлось две трети всех инцидентов.

Такие данные привели «Известиям» в пресс-службе BI.ZONE. В 2024 году, по данным InfoWatch, на российские госструктуры и компании нападали около 40 группировок.

По словам руководителя аналитического направления InfoWatch Андрея Арсентьева, около 60% из них — проукраинские объединения из Восточной Европы. Среди наиболее активных он назвал CyberSec, Blackjack, Cyber Anarchy Squad, Cyber Legions, Dumpforums, HdrO, UHG, «Кибер Сопротивление» и «Киберпартизанов».

Эксперт также отметил, что точно установить организаторов удаётся только в трети случаев — многие подробности раскрываются позже, и статистика, как правило, растёт.

С этой оценкой согласен руководитель группы расследований Solar 4RAYS Иван Сюхин: доля проукраинских атак действительно выросла — с менее чем 25% в 2023 году до 60% в 2025-м. Также он указал на высокую активность восточноазиатских группировок.

В «Кросс технолоджис» подтверждают: число хактивистских атак резко увеличилось, а вместе с ним — и спрос на услуги «этических хакеров». По данным компании, он вырос на 55%.

«Часть мирового сообщества фактически одобрила политически мотивированные атаки — они стали системными», — отметил технический директор ИТ-экосистемы «Лукоморье» (ООО «РТК ИТ плюс») Алексей Щербаков.

По его словам, изменилась и тактика атакующих. Если в 2022 году доминировали DDoS-атаки, то сейчас основной упор сделан на эксплуатацию уязвимостей в веб-приложениях. Кроме того, хакеров всё чаще координируют через информационные вбросы, чтобы активизировать в нужный момент.

Как сообщил руководитель отдела расширенного анализа угроз «Лаборатории Касперского» Никита Назаров, только в 2025 году появилось семь новых и особенно опасных группировок. Всего их действует 74, из них треть возникла после 2022 года. Кроме того, увеличилось число сложных атак и угроз.

По оценке BI.ZONE, треть из всех группировок используют веб-шеллы — с их помощью злоумышленники проникают в системы, крадут данные и разрушают инфраструктуру. В 86% случаев утечек речь идёт о базах данных пользователей веб-ресурсов.

«Растёт число групп, занимающихся кибермошенничеством, — отметил генеральный директор Phishman Алексей Горелкин. — Это связано с тем, что злоумышленники легко находят финансово мотивированных помощников в России. Также наблюдается тенденция к распаду крупных групп на более мелкие, что увеличивает общее количество игроков».

По его словам, массовое применение ИИ затрудняет атрибуцию атак, часто приводя к завышенным оценкам по числу группировок.

Директор департамента киберрасследований T.Hunter Игорь Бедеров считает, что ситуация усугубляется размытием границ между идеологически мотивированными и чисто преступными хакерами. Противостоять им точечными средствами уже недостаточно — нужны платформенные решения с возможностями анализа аномалий и автоматическим реагированием.

Также, по данным BI.ZONE, более 60% серверов и рабочих станций в России уязвимы из-за неправильных или некорректных настроек. Чтобы снизить риск внедрения вредоносных скриптов, эксперты рекомендуют ограничивать доступ к интернету для тестовых и разрабатываемых веб-ресурсов, а также внедрять современные средства мониторинга и защиты.

Независимый эксперт Сергей Поморцев считает, что усиление атак приведёт к ужесточению регулирования со стороны государства. Возможны обязательные требования к шифрованию данных и регулярному аудиту ИТ-систем. Также ожидается активное внедрение автоматизированных систем мониторинга и защиты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru