Российский нефтегазовый сектор оказался мишенью новой кибершпионской кампании, в которой злоумышленники активно используют вредоносные PDF-документы и ранее неизвестную уязвимость в Adobe Reader. Судя по всему, атаки начались не позднее декабря 2025 года и продолжаются до сих пор, при этом основная цель - скрытый вывод конфиденциальных данных из корпоративных систем.
Как работает атака через PDF
Суть атаки сводится к тому, что в специально подготовленные PDF-файлы встраивается сложный эксплойт, использующий цепочку уязвимостей в Adobe Reader. Когда жертва открывает такой документ, в фоне автоматически запускается скрытый JavaScript-код. Этот скрипт получает возможность обращаться к привилегированным API Acrobat и, пользуясь этим, извлекает чувствительную информацию, а также подгружает дополнительные вредоносные модули.
Исследователь компании Expmon Хайфей Ли описывает данный эксплойт как крайне изощрённый и указывает, что он, скорее всего, сопровождается элементами социальной инженерии. Жертве, по всей видимости, присылают документ, который выглядит максимально правдоподобно и связан с её профессиональной деятельностью, что повышает вероятность его открытия именно в Adobe Reader - целевом приложении атаки.
По данным специалистов, первый обнаруженный образец вредоносного PDF был загружен в сервис анализа вредоносных файлов 28 ноября 2025 года. Второй известный сэмпл появился 23 марта 2026 года, что говорит о длительной и целенаправленной кампании, а не о разовой атаке.
Прицельный удар по нефтегазовой отрасли
Анализ содержания PDF-документов показывает, что они явно нацелены на специалистов и организации, задействованные в российской нефтегазовой промышленности. Другой исследователь, выступающий под псевдонимом Gi7w0rm, отмечает, что тексты внутри файлов написаны на русском языке и связаны с актуальными событиями и процессами в отрасли: организацией работ, вмешательствами в технологические процессы, договорённостями и прочей документацией.
Заголовки документов выглядят как рабочие: среди них, например, "Меры, которые необходимо выполнить для организации вмешательств" и "Дополнение к договоренности". Однако при внимательном рассмотрении заметно, что формулировки слегка неестественны, будто переведены с другого языка. Это позволяет предположить, что для операторов кампании русский язык не является родным, а сами документы создавались либо с помощью машинного перевода, либо при участии не носителей языка.
Дополнительное подозрение вызывает то, что в метаданных файлов в качестве языка указан en-US (американский английский), несмотря на то, что визуально документы полностью русскоязычные. Это ещё один косвенный признак иностранного происхождения кампании.
Эксплойт первого этапа: сбор данных и подготовка почвы
По словам Хайфея Ли, обнаруженный вредоносный образец представляет собой так называемый эксплойт первой очереди. Его основная задача - незаметно собрать широкий спектр информации о системе-жертве и передать её на удалённый сервер операторов. Собранные данные могут включать сведения о конфигурации системы, установленных программах, сетевой инфраструктуре, а также потенциальных точках для дальнейшего проникновения.
После этой разведывательной фазы злоумышленники могут развернуть следующую волну атак. Речь идёт о дополнительных эксплойтах, которые позволят удалённо выполнять произвольный код, выходить из песочниц и изолированных сред, а также получать ещё более глубокий доступ к корпоративной инфраструктуре.
Особенно тревожно то, что эксплойт уже продемонстрировал совместимость с актуальной версией Adobe Reader, то есть уязвимость затрагивает и обновлённые системы, где, казалось бы, должны быть закрыты все известные дыры безопасности.
Неизвестная инфраструктура и слабое обнаружение
Отдельный исследователь, анализировавший один из вредоносных образцов при помощи ИИ-инструмента, подтвердил, что эксплойт использует привилегированные API Adobe Acrobat, которые формально должны находиться внутри защищённой зоны (песочницы), но на практике оказываются доступными для злоумышленников. Это и обеспечивает им необычно высокий уровень контроля над приложением.
Было также установлено, что кампания использует специально подготовленную инфраструктуру управления и сбора данных, которая ранее не фигурировала в публичных аналитических отчётах и не ассоциировалась с известными кибергруппировками. Данные с заражённых машин перенаправляются на удалённый адрес с нестандартным портом, что усложняет их выявление в потоке сетевого трафика.
При этом детектирование угрозы средствами традиционных антивирусов остаётся крайне низким. Согласно результатам проверки в популярной системе анализа вредоносов, лишь 6 из 77 антивирусных движков смогли распознать вредоносную активность в представленных образцах. Среди сработавших продуктов - решения нескольких известных поставщиков, но подавляющее большинство систем защиты на момент анализа не видело в файлах ничего подозрительного. Это свидетельствует о высокой степени новизны и продуманности атаки.
Маскировка под обычные рабочие документы
Документы-приманки, используемые в кампании, представляют собой файлы, в которых видимая часть содержимого оформлена как растровое изображение. Фактически пользователю демонстрируется картинка с текстом, а не настоящий текстовый слой PDF. Из-за этого невозможно выделить текст или скопировать его в буфер обмена. Такой подход усложняет автоматический текстовый анализ и может обходить некоторые механизмы фильтрации и проверки документов.
Это типичная техника маскировки: визуально документ выглядит как обычная служебная бумага - с заголовками, таблицами, подписью или печатью, - но внутри скрывается сложная вредоносная структура, невидимая невооружённым глазом.
Уязвимость из двух частей и "секретный" API
Эксплуатируемая уязвимость, по оценке экспертов, состоит из двух взаимосвязанных компонентов. Во-первых, используется ошибка, позволяющая внедрить и выполнить JavaScript-код через внутренний API под названием Internal UI. Это даёт возможность запустить скрипт из изолированного контекста, который, в свою очередь, становится точкой входа для повышения привилегий.
Во-вторых, после получения повышенных привилегий злоумышленник получает доступ практически ко всем API Acrobat, включая те, которые в обычном режиме считаются недоступными для произвольного кода. На этом этапе в ход идёт нигде формально не задокументированный, но функциональный API, связанный с аутентификацией. Его существование долгое время оставалось неизвестным широкой публике, но, как видно, не неизвестным для профессиональных кибершпионов.
Эксперты предполагают, что подобный незадокументированный интерфейс могли оставить разработчики как внутренний технический инструмент или дополнительную защитную меру. Однако на практике это обернулось противоположным эффектом: продвинутые злоумышленники обнаружили данный API и сумели использовать его в своих целях, превратив потенциальный "страховочный" механизм в уязвимость.
Оценка экспертов: кибершпионаж государственного уровня
Михаил Зайцев, специалист по информационной безопасности одной из отечественных компаний, считает, что совокупность всех признаков указывает на хорошо спланированную шпионскую операцию. Высокий уровень технической сложности эксплойта, узкая отраслевая направленность, использование редких и незадокументированных возможностей программного обеспечения, а также специально созданная инфраструктура свидетельствуют о том, что за атакой, с большой вероятностью, стоит группа, действующая в интересах национального государства.
По мнению эксперта, подобные кампании разрабатываются не месяцами, а годами, и требуют значительных ресурсов - как человеческих, так и финансовых. При этом однозначно приписать атаку конкретной стране или известной группировке пока затруднительно: злоумышленники тщательно скрывают свои следы, избегают повторного использования инфраструктуры и не оставляют характерных "подписей", по которым обычно проводится атрибуция.
Почему нефтегаз стал приоритетной целью
Российская нефтегазовая отрасль - один из ключевых элементов экономики, от которого зависят не только доходы бюджета, но и энергетическая безопасность страны. Компании этого сектора управляют сложнейшей инфраструктурой: месторождениями, трубопроводами, перерабатывающими заводами, транспортной логистикой. Данные о планах добычи и экспорта, технологических процессах, ремонтах, контрактах и партнёрах представляют огромную ценность для конкурентов и иностранных государств.
Кибершпионаж в таком контексте позволяет получить стратегическое преимущество: лучше понимать реальное состояние дел в отрасли, прогнозировать действия России на глобальном энергетическом рынке, оценивать устойчивость цепочек поставок. Не исключено, что часть интереса может быть связана и с промышленным саботажем - поиском уязвимых мест в технологических системах, которые могут быть использованы в будущем.
Риски для промышленных объектов и КИИ
Отдельная тревога связана с тем, что нефтегазовые компании все чаще относятся к категории объектов критической информационной инфраструктуры. Любая успешная кибератака, даже если изначально она направлена лишь на кражу данных, может в перспективе привести к более серьёзным последствиям: вмешательству в технологические процессы, нарушению работы автоматизированных систем управления, остановке добычи или транспортировки сырья.
Если злоумышленники получат устойчивый плацдарм внутри сети организации, они смогут постепенно передвигаться от офисных систем к промышленным, искать слабые места в защите технологических сегментов, подбирать учетные данные сотрудников, анализировать схемы подключения оборудования. Поэтому даже на первый взгляд "безобидный" PDF-файл, открытый сотрудником административного подразделения, может стать первым шагом к компрометации всей цепочки управления.
Как компаниям защититься от подобных атак
Учитывая направленность и сложность описанной кампании, полагаться только на антивирус и базовые средства защиты уже недостаточно. Ряд практических шагов, которые особенно актуальны для нефтегазовых и других стратегических компаний:
1. Ограничение использования PDF-ридеров. Там, где возможно, имеет смысл использовать альтернативные решения с минимальным набором функций или просматривать потенциально опасные документы в изолированных средах (виртуальные машины, специализированные "песочницы").
2. Жёсткая политика обновлений. Необходимо отслеживать и оперативно устанавливать все обновления безопасности для Adobe Reader и других продуктов. Даже если конкретная уязвимость ещё не закрыта, разработчики зачастую постепенно укрепляют защиту и усложняют эксплуатацию.
3. Разделение сетей. Критически важные системы, связанные с управлением технологическими процессами, должны быть максимально изолированы от офисного контура, где сотрудники работают с почтой и документами.
4. Обучение персонала. Сотрудники, особенно в ключевых подразделениях, должны понимать риски, связанные с открытием вложенных файлов из писем, даже если они выглядят как типичная рабочая документация. Важно учить их обращать внимание на странные формулировки, необычные отправители, нехарактерные форматы файлов.
5. Многоуровневая защита. Использование систем анализа поведения, почтовых шлюзов с возможностью детонации вложений в песочнице, средств контроля сетевого трафика и механизмов предотвращения утечек данных позволяет значительно уменьшить шансы злоумышленников.
Роль разработчиков и необходимость прозрачности
Отдельный урок из данной истории - важность прозрачности со стороны производителей программного обеспечения. Наличие незадокументированных API, пусть даже созданных из самых благих побуждений, создаёт благодатную почву для злоупотреблений. Чем сложнее продукт и чем больше в нём скрытых функций, тем выше вероятность, что кто-то когда-то найдёт способ использовать их не по назначению.
Разработчикам критичных приложений, таких как популярные PDF-просмотрщики, необходимо пересматривать подход к архитектуре безопасности: минимизировать доверенные компоненты, ужесточать границы песочниц, удалять или документировать все потенциально опасные интерфейсы. В противном случае подобные операции кибершпионажа будут лишь набирать обороты.
Что дальше
Пока специалисты по кибербезопасности продолжают изучать эксплойт и связанную с ним инфраструктуру, можно уверенно говорить лишь об одном: атака носит целенаправленный, долгосрочный и крайне продуманный характер. Российским компаниям из нефтегазовой и смежных отраслей следует исходить из того, что подобные кампании не ограничатся единичными эпизодами и, вероятнее всего, будут расширяться, охватывая новые организации и цепочки поставок.
В условиях, когда информационные системы всё глубже интегрируются с производством, энергетикой и логистикой, защита от таких "невидимых" атак через привычные форматы документов становится не просто задачей ИТ-подразделения, а вопросом национальной и экономической безопасности.
