Adobe Reader Zero-day, PDF 기반 타겟 프로파일링 공격 분석

Context

최신 버전의 Adobe Acrobat Reader에서도 작동하는 Zero-day 취약점 발견. PDF 파일 오픈 시 사용자 클릭 없이 JavaScript가 자동 실행되는 구조. 특정 타겟을 선별하여 공격하는 정교한 2단계 침투 전략 사용.

Technical Solution

• 난독화된 JavaScript를 이용해 파일 실행 즉시 Acrobat 내장 API를 호출하는 구조
• OS 정보, 언어 설정, 로컬 파일 경로 등 시스템 메타데이터를 수집하는 1단계 정찰(Recon) 단계 수행
• 수집된 정보를 공격자 서버로 전송하여 타겟의 가치와 환경을 분석하는 핑거프린팅 전략
• 분석 결과 조건에 부합하는 타겟에게만 2단계 페이로드를 전송하는 선별적 공격 방식
• 최종적으로 Remote Code Execution(RCE) 또는 Sandbox Escape를 유도하여 시스템 권한을 탈취하는 설계

Impact

• 2025년 11월 28일부터 최소 4개월간 탐지되지 않고 활동한 지속성

Key Takeaway

공격자가 모든 대상에 동일한 페이로드를 배포하지 않고 정찰 단계를 통해 최적의 타겟을 선별하는 전략적 접근 방식의 위험성. 애플리케이션 내장 API를 통한 정보 수집이 초기 침투의 핵심 경로로 활용됨.