Bảng tự do

[toàn bộ] [2026] Nhiễm virus chỉ bằng cách mở PDF? Toàn bộ câu chuyện về cuộc tấn công Zero-Day của Adobe Reader (CVE-2026-34621)

2026.04.13 11:44
kiểm tra 82sắt vụn 0

Bài viết này cung cấp lời giải thích chi tiết về cơ chế, biện pháp đối phó và các chỉ báo về mối quan ngại (IOC) của lỗ hổng bảo mật zero-day trong Adobe Reader (CVE-2026-34621), được phát hiện vào tháng 4 năm 2026. Lỗ hổng cực kỳ nguy hiểm này cho phép kẻ tấn công đánh cắp thông tin máy tính và thậm chí điều khiển máy tính từ xa chỉ bằng cách mở một tệp PDF.

 

Tấn công zero-day là gì?


Tấn công zero-day là một cuộc tấn công mạng khai thác các lỗ hổng mà các nhà sản xuất phần mềm chưa biết đến hoặc chưa phát hành bản vá để khắc phục. Tên gọi "zero-day" xuất phát từ thực tế là không có ngày nào trôi qua giữa thời điểm phát hiện ra lỗ hổng và thời gian nhà sản xuất khắc phục nó. Nó bắt nguồn từ nghĩa của từ "to be" (là).


Khi một lỗ hổng bảo mật zero-day bị khai thác, người dùng không thể thực hiện các biện pháp phòng vệ thông thường như áp dụng các bản vá bảo mật, khiến việc phòng chống chỉ bằng phần mềm diệt virus thông thường trở nên vô cùng khó khăn. Cuộc tấn công zero-day vào Adobe Reader (CVE-2026-34621) được phát hiện vào tháng 4 năm 2026 là một ví dụ điển hình cho điều này. Cuộc tấn công được thực thi tự động chỉ bằng cách mở một tệp PDF. Vụ việc này đang thu hút sự chú ý vì tính chất cực kỳ nguy hiểm.

 

mục lục

  1. Tóm tắt sự cố: Một cuộc tấn công zero-day đã âm thầm diễn ra trong hơn bốn tháng.
  2. Cơ chế tấn công: Chuỗi tấn công mạng hoàn chỉnh qua 3 giai đoạn
  3. Một biến thể thứ hai cũng được phát hiện: những kẻ tấn công tiếp tục nâng cấp phiên bản của chúng.
  4. Đối tượng mục tiêu là ai? Tiếng Nga và ngành công nghiệp dầu khí là những từ khóa chính.
  5. CVE-2026-34621 là gì? Đó là mã số nhận dạng chính thức của lỗ hổng bảo mật.
  6. Danh sách các chỉ báo vi phạm (IOC): Dữ liệu có thể sử dụng để giám sát nội bộ.
  7. Những việc bạn có thể làm ngay bây giờ: Nên làm gì cho đến khi bản vá được phát hành
  8. Phản ứng trên mạng: Ý kiến ​​của các nhà nghiên cứu bảo mật
  9. Câu hỏi thường gặp (FAQ)
  10. Tài liệu tham khảo và nguồn

 


1. Tóm tắt sự cố: Một cuộc tấn công zero-day đã âm thầm diễn ra trong hơn bốn tháng.

 

Ngày 7 tháng 4 năm 2026, Hệ thống phát hiện lỗ hổng bảo mật kiểu Sandbox "EXPMON" Người sáng lập công ty nghiên cứu bảo mật Hải Phi Lý Ông đã tiết lộ một lỗ hổng bảo mật chưa được vá (sau này được đăng ký với mã CVE-2026-34621) trong công cụ JavaScript của Adobe Reader.


Những dấu vết đầu tiên của một cuộc tấn công khai thác lỗ hổng này đã được ghi nhận trên VirusTotal vào năm 2018. Ngày 28 tháng 11 năm 2025 Và ít nhất là cho đến tháng 3 năm 2026, khi nó được phát hiện. Khoảng 4 tháng trở lên Người ta đã phát hiện ra rằng cuộc tấn công zero-day này đã tiếp diễn mà không bị phát hiện trên toàn thế giới trong một khoảng thời gian khá dài.


Một điểm đáng chú ý là tỷ lệ phát hiện ban đầu thấp trên VirusTotal. 5/64 Tỷ lệ phát hiện cực kỳ thấp. Do tích hợp các kỹ thuật che giấu tiên tiến và khả năng né tránh môi trường sandbox, nó được các phần mềm diệt virus thông thường coi là gần như vô hại.

 

[2026] Nhiễm virus chỉ bằng cách mở PDF? Toàn bộ câu chuyện về cuộc tấn công Zero-Day của Adobe Reader (CVE-2026-34621)

 

2. Cơ chế tấn công: Chuỗi tấn công mạng hoàn chỉnh qua 3 giai đoạn

 

Đặc điểm nổi bật nhất của cuộc tấn công zero-day này là Cuộc tấn công tự động bắt đầu ngay khi người dùng mở tệp PDF. Vậy là xong. Không cần thực hiện thêm bất kỳ thao tác nào khác, chẳng hạn như nhấp vào liên kết hoặc cấp quyền chạy macro.


Cuộc tấn công diễn ra theo ba giai đoạn (pha) sau:

 

Giai đoạn 1: Khởi động máy xúc (thực thi tự động)
Các trường biểu mẫu ẩn trong PDF ( nút 1 ) được nhúng trong, JSFuck Đoạn mã JavaScript được mã hóa này sẽ tự động được kích hoạt ngay khi tệp PDF được mở. Nó giải mã một lượng lớn mã được mã hóa base64 và sau đó thực thi sau độ trễ 500 mili giây (để tránh bị chặn bởi cơ chế sandbox).

 

Giai đoạn 2: Lấy dấu vân tay (Điều tra mục tiêu)

Mã tấn công lợi dụng API của Adobe Reader để thu thập các thông tin sau từ thiết bị bị nhiễm:

  • Phiên bản chính xác của hệ điều hành ( ntdll.dll (Thu được bằng phương pháp phân tích nhị phân)
  • Phiên bản Adobe Reader
  • Cài đặt ngôn ngữ và thông tin nền tảng
  • Gỡ cài đặt phần mềm diệt virus
  • Đường dẫn cục bộ của tệp PDF

Tất cả thông tin này là RSS.addFeed() Dữ liệu được gửi qua API đến máy chủ C2 (máy chủ Chỉ huy và Kiểm soát) do kẻ tấn công điều khiển. User-Agent tại thời điểm truyền dữ liệu là... "Mozilla/3.0 (tương thích; Adobe Synchronizer 23.8.20533)" Quá trình này được ngụy trang dưới dạng một quy trình hợp pháp của Adobe và được thiết kế để vượt qua hoạt động giám sát mạng thông thường.

 

Giai đoạn 3: Cuộc tấn công tiếp theo (có điều kiện)
Máy chủ C2 lựa chọn mục tiêu dựa trên thông tin thu thập được. Chỉ những thiết bị đáp ứng tiêu chí của kẻ tấn công mới bị nhắm mục tiêu. Mã hóa AES-CTR + nén zlib Thao tác này sẽ gửi thêm một đoạn mã JavaScript. Đoạn mã JavaScript tiếp theo đó là: Thực thi mã từ xa (RCE) Điều này có thể dẫn đến tình huống thoát khỏi môi trường thử nghiệm (SBX).
Mặt khác, đối với môi trường sandbox, nó chỉ đơn giản trả về // (một bình luận JavaScript trống) để tránh việc phân tích cú pháp.

Trong một thí nghiệm xác minh sử dụng máy chủ riêng của Haifei Li, mã JavaScript được trả về từ C2 thực sự đã được thực thi trên Adobe Reader. hệ thống 32 Đã có xác nhận rằng nó có thể đọc các tệp PNG trong một thư mục và gửi chúng đến một máy chủ bên ngoài. Ngay cả khi không có thực thi mã từ xa (RCE) sau đó, Vụ đánh cắp tập tin chỉ được hoàn thành trong giai đoạn 2 và 3. Điều này đã được chứng minh.

 

[2026] Nhiễm virus chỉ bằng cách mở PDF? Toàn bộ câu chuyện về cuộc tấn công Zero-Day của Adobe Reader (CVE-2026-34621)

 

3. Một biến thể thứ hai cũng được phát hiện: Những kẻ tấn công tiếp tục nâng cấp phiên bản của chúng.


Ngày 8 tháng 4 năm 2026, Nhà nghiên cứu bảo mật Greg Lesnewich @greglesnewich đã phát hiện ra một biến thể mới.

nhà nghiên cứu N3mes1s Theo báo cáo điều tra chi tiết do anh ta công bố trên GitHub, việc so sánh phiên bản v1 (nguyên mẫu) và v2 (phiên bản chính thức) cho thấy những kẻ tấn công đã liên tục thực hiện các cải tiến sau:

  • Cải tiến hơn nữa khả năng làm mờ mã nguồn
  • Thu hẹp phạm vi hệ điều hành mục tiêu (loại bỏ hỗ trợ Windows 7)
  • Thường xuyên xoay vòng cơ sở hạ tầng máy chủ C2.

Hơn nữa, nhật ký máy chủ C2 hiển thị điểm cuối /s12 dường như dành cho Adobe Reader phiên bản 25.x. Quá trình phát triển phiên bản v3 đang được tiến hành. Người ta cho rằng điều này có thể đúng.

 

4. Đối tượng mục tiêu là ai? Tiếng Nga và ngành công nghiệp dầu khí là những từ khóa chính.


nhà nghiên cứu Gi7w0rm Theo phân tích của ông, tệp PDF giả mạo được sử dụng trong vụ tấn công được viết bằng tiếng Nga, và nội dung của nó là... Các sự kiện hiện tại liên quan đến ngành dầu khí của Nga Đã có thông tin tiết lộ rằng ông ấy có đề cập đến điều đó.


Phân tích pháp y của N3mes1s đã xác định được hai loại mẫu.

 

vật mẫu Nội dung của tài liệu mồi nhử mục tiêu giả định
Mẫu 1 (54077a5b) Quy trình ứng phó với sự cố gián đoạn nguồn cung cấp khí đốt, rủi ro an toàn lao động, hợp tác với chính quyền địa phương và thông báo công khai (bằng tiếng Nga)
Các công ty năng lượng và các nhà điều hành cơ sở hạ tầng quan trọng
Mẫu 2 (65dca34b) Các thỏa thuận và hợp đồng giữa các tổ chức có địa chỉ tại Moscow (bằng tiếng Nga)
Các cơ quan chính phủ và tổ chức tư nhân nói tiếng Nga



Tất cả siêu dữ liệu PDF /Lang (en-US) Các thiết lập được cấu hình như sau, và công cụ tạo ra nó là thư viện Python. PyMuPDF Tiêu đề đã được cố tình ẩn danh là "Trang Trắng". N3mes1s cho biết cuộc tấn công này do chính N3mes1s thực hiện. "Hoạt động gián điệp tinh vi do các nhóm được nhà nước tài trợ hoặc các nhóm APT (Advanced Persistent Threats) thực hiện." Đó là những gì họ đã nói.

 

5. CVE-2026-34621 là gì? Đây là mã số nhận dạng chính thức của lỗ hổng bảo mật.


CVE-2026-34621 Đây là mã số định danh chính thức được gán cho lỗ hổng bảo mật zero-day trong công cụ JavaScript của Adobe Reader vừa được phát hiện gần đây. CVE (Common Vulnerabilities and Exposures) là một khung tiêu chuẩn quốc tế để xác định và theo dõi các lỗ hổng một cách duy nhất.


Lỗ hổng này Tất cả các phiên bản Adobe Reader, bao gồm cả phiên bản mới nhất. Phương pháp này đã được xác nhận là có hiệu quả trong việc khắc phục sự cố, và Adobe đã được thông báo. Tính đến thời điểm viết bài này (tháng 4 năm 2026), bản vá lỗi chính thức vẫn chưa được phát hành, nhưng Adobe đã phát hành bản vá khẩn cấp. Người dùng chưa áp dụng bản vá nên cập nhật lên phiên bản mới nhất càng sớm càng tốt.

 

 

6. Danh sách các IOC (Chỉ báo vi phạm): Dữ liệu có thể sử dụng để giám sát nội bộ.


Bằng cách đăng ký các IOC sau vào tường lửa, EDR và ​​SIEM của bạn, bạn có thể phát hiện và chặn cuộc tấn công zero-day này.

 

kiểu giá trị nhận xét
Địa chỉ IP C2 169.40.2.68:45191
Mẫu v1 (Latvia, VEESP)
Địa chỉ IP C2 188.214.34.20:34123
Mẫu v2 (Síp, EDIS GmbH)
lãnh địa ado-read-parser.com / zx.ado-read-parser.com
Đăng ký ngày 6 tháng 2 năm 2025, phát hiện VT 0/94
Tác nhân người dùng Mozilla/3.0 (tương thích; Adobe Synchronizer 23.8.20533)
Được ngụy trang dưới dạng một quy trình của Adobe.
SHA-256 (v1) 54077a5b15638e354fa02318623775b7a1cc0e8c21e59bcbab333035369e377f
Invoice540.pdf (VT 6/77)
SHA-256 (v2) 65dca34b04416f9a113f09718cbe51e11fd58e7287b7863e37f393ed4d25dde7
Được phát hiện bởi EXPMON (VT 5/64)
Khóa đăng ký HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Synchronizer
Cơ chế bền vững
Mã chiến dịch 422974 (v1) / 319988 (v2)
Tham số URL C2 &od= chứa

 

7. Những việc bạn có thể làm ngay bây giờ: Cần làm gì cho đến khi bản vá được phát hành


Giám sát mạng


Acrobat.exe AcroRd32.exe Cách thiết lập hiệu quả nhất là phát hiện và chặn các yêu cầu HTTP có chứa "Adobe Synchronizer" trong User-Agent từ các liên lạc bên ngoài, coi chúng như được gửi đến các máy chủ khác ngoài máy chủ chính thức của Adobe. &od=422974 hoặc &od=319988 Vui lòng thiết lập cảnh báo cho các yêu cầu có chứa [điều này].


Bảo vệ điểm cuối


Từ quy trình của Adobe ntdll.dll hoặc Bootsvc.dll Vui lòng thêm quy tắc để phát hiện truy cập tệp bất thường vào [vị trí]. Ngoài ra, AdobeCollabSync.exe Chúng tôi khuyên bạn nên thiết lập cảnh báo khi hệ thống cố gắng kết nối với mạng bên ngoài.


Đào tạo người dùng và hỗ trợ vận hành

  • Không nên mở các tệp PDF từ người gửi không xác định hoặc người mà bạn không quen biết (đặc biệt cẩn thận nếu tên tệp được ngụy trang thành hóa đơn hoặc hợp đồng).
  • Vô hiệu hóa việc thực thi JavaScript trong Adobe Reader trên các máy tính làm việc (tùy thuộc vào môi trường)
  • Chặn địa chỉ IP và tên miền của IOC nêu trên bằng tường lửa hoặc máy chủ proxy.
  • Chúng tôi liên tục theo dõi các thông báo bảo mật chính thức của Adobe và áp dụng các bản vá ngay lập tức sau khi chúng được phát hành.


8. Phản hồi trực tuyến: Ý kiến ​​của các nhà nghiên cứu bảo mật


Sau khi phát hiện ra lỗ hổng bảo mật chưa được vá này, nhiều ý kiến ​​khác nhau đã được đưa ra trong cộng đồng an ninh mạng.

 

Toàn bộ cộng đồng an ninh "Nó không được phát hiện trong hơn bốn tháng." Nhiều người bày tỏ sự ngạc nhiên vào thời điểm này, và có một cảm giác khủng hoảng chung rằng "chỉ riêng các báo cáo sự cố điện tử (EDR) tiêu chuẩn là không đủ". Hơn nữa, đang có những cuộc thảo luận sôi nổi về bằng chứng cho thấy sự tham gia của các nhóm APT (các tài liệu giả mạo bằng tiếng Nga, các chủ đề liên quan đến bí mật nhà nước).

 

9. Câu hỏi thường gặp (FAQ)


Hỏi: Liệu lỗ hổng bảo mật zero-day này của Adobe Reader có thể lây nhiễm vào ứng dụng chỉ bằng cách mở một tập tin không?


A. Đúng vậy. Lỗ hổng này được thiết kế để tự động thực thi ngay khi tệp PDF được mở, không yêu cầu người dùng thực hiện thêm bất kỳ thao tác nào, chẳng hạn như nhấp vào liên kết hoặc cho phép thực thi macro. Do đó, nó cực kỳ nguy hiểm.

 

Hỏi: Liệu phần mềm diệt virus thông thường có thể ngăn chặn điều này không?


A. Hiện tại, việc ngăn chặn nó vô cùng khó khăn. Tỷ lệ phát hiện ban đầu trên VirusTotal cực kỳ thấp, chỉ 5/64, và vì nó tích hợp các kỹ thuật che giấu nâng cao như JSFuck và các tính năng né tránh hộp cát, nên rất có thể các sản phẩm chống virus thông thường sẽ coi nó là một tập tin vô hại.

 

Hỏi: Đã có bản vá lỗi nào được phát hành cho lỗ hổng bảo mật CVE-2026-34621 chưa?


A. Sau khi phát hiện ra lỗ hổng, Adobe đã phát hành bản vá khẩn cấp cho lỗ hổng zero-day (CVE-2026-34621). Người dùng Adobe Reader nên cập nhật lên phiên bản mới nhất ngay lập tức. Như một biện pháp tạm thời trước khi áp dụng bản vá, chúng tôi khuyên bạn nên đăng ký các IOC trong bài viết này với tường lửa hoặc EDR của mình và tiến hành hướng dẫn người dùng cách xử lý các tệp PDF đáng ngờ.

 

Hỏi: Làm thế nào để kiểm tra xem tôi có phải là nạn nhân của một cuộc tấn công zero-day hay không?


A. Kiểm tra nhật ký mạng nội bộ. Acrobat.exe hoặc AcroRd32.exe Từ các địa chỉ IP (169.40.2.68, 188.214.34.20) và tên miền của IOC ở trên ( ado-read-parser.com Vui lòng điều tra xem có bất kỳ bản ghi nào về việc liên lạc với ). Ngoài ra, hãy kiểm tra khóa đăng ký. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Synchronize Sự hiện diện của chữ 'r' cũng là một điểm cần xác nhận.

 

Hỏi: Thuật ngữ "tấn công zero-day" có liên quan đến bộ phim truyền hình "Zero Day" của Netflix không?


A. Mặc dù cùng tên gọi là "zero day", nhưng không có mối liên hệ nào. Bộ phim truyền hình "Zero Day" của Netflix là một phim kinh dị chính trị về các cuộc tấn công mạng. Mặt khác, "cuộc tấn công zero day" được giải thích trong bài viết này là một thuật ngữ an ninh mạng thực tế, và Adobe Reader CVE-2026-34621 là một trường hợp tấn công có thật.

 

10. Tài liệu tham khảo và nguồn

 

  • Haifei Li (EXPMON): EXPMON phát hiện cuộc tấn công nhận dạng dấu vân tay zero-day tinh vi nhắm vào người dùng Adobe Reader (7 tháng 4 năm 2026)
  • Greg Lesnewich: Adobe khai thác lỗ hổng PDF Traffic (GitHub Gist) (Ngày 8 tháng 4 năm 2026)
  • N3mes1s: Lỗ hổng bảo mật PDF Zero-Day của Adobe Reader – Phân tích pháp y đầy đủ (GitHub Gist) (Ngày 8 tháng 4 năm 2026)
  • SecurityWeek: Lỗ hổng bảo mật zero-day của Adobe Reader bị khai thác trong nhiều tháng: Nhà nghiên cứu
  • Tờ The Register: Lỗ hổng bảo mật zero-day cũ của Adobe Reader sử dụng PDF để đánh giá mục tiêu
  • Vấn đề an ninh: Tệp PDF độc hại tiết lộ lỗ hổng bảo mật zero-day đang hoạt động trên Adobe Reader.
  • Tin tức từ Hacker News: Lỗ hổng bảo mật zero-day của Adobe Reader bị khai thác thông qua các tệp PDF độc hại kể từ tháng 12 năm 2025

 

 

 

🔥Những bài viết thú vị khác mà chúng tôi khuyên bạn nên đọc

 

[2026] Cái chết đột ngột của Zepa có phải là sự thật? Tóm tắt thông báo, nguyên nhân cái chết chưa được tiết lộ và những lời tưởng niệm trên mạng xã hội.

 

[2026] Chúc mừng, vị hôn phu! Có phải là đạo nhái? Cùng xem xét các vấn đề tương tự và kết luận của loạt phim.

    

[2026] Onicha là gì? Khi nào trà lúa mạch "ONICHA" của Hikakin sẽ được phát hành và giá bao nhiêu?

 

[2026] Takashi Kashiwabara đang làm gì vào năm 2026? Tóm tắt về cuộc tái hôn của ông với Yuki Uchida, quá khứ và các tác phẩm tiêu biểu.

 

[2026] Nobuko Nakano là ai? Một lời giải thích chi tiết về tuổi tác, chồng, gia đình, tin đồn phẫu thuật thẩm mỹ và thời trẻ của cô ấy!

 

[2026] Ichikawa Danjuro hoàn toàn đánh bại 24 diễn viên hài—Sức mạnh thực sự của một diễn viên Kabuki là gì như được thể hiện trong "Làm cho họ cười và giành được 10 triệu yên"? 

 

0
0
bình luận 2
  • hình ảnh hồ sơ cá nhân
    wlChinchilla395
    어도비에 대한 기사인가봐요
어떤 내용인지는 잘 모르겠어요 ㅜ
  • hình ảnh hồ sơ cá nhân
    jaX-ray Tetra157
    해킹이라니 무섭네요 조심해야겠어요