Balandį pasirodė kritinis Adobe Reader nulinės dienos pažeidžiamumas, kampanijos, piktnaudžiaujančios Claude prekės ženklu kenkėjiškoms programoms platinti, ir fišingo banga, prikėlusi devynerių metų senumo Office pažeidžiamumą. Vaizdas maždaug toks, kokio ir galima tikėtis: triukšmingas, oportunistinis ir nemaloniai priklausomas nuo bazinės kibernetinės higienos spragų. 

Adobe Acrobat Reader nulinės dienos pažeidžiamumas, išnaudojamas dar nuo gruodžio 

Balandžio 11 d. Adobe paskelbė skubų atnaujinimą dėl CVE-2026-34621 – „prototype-pollution“ tipo pažeidžiamumo Acrobat ir Acrobat Reader programose Windows ir macOS platformose. Sėkmingas šio pažeidžiamumo išnaudojimas leidžia nuotolinį kodo vykdymą, o pakanka tiesiog atidaryti kenkėjišką PDF failą. 

Tyrėjas Haifei Li pastebėjo šią klaidą po to, kai į jo platformą (EXPMON) buvo įkeltas pavyzdys; ankstyviausias rastas „laukinis“ PDF datuojamas bent 2025 m. gruodžiu – tai reiškia, kad užpuolikai turėjo bent keturis mėnesius netrukdomo veikimo. Kenkėjiškų programų analitikai pastebėjo, kad masalai buvo rusiškai surašyti dokumentai, susiję su naftos ir dujų tiekimo sutrikimais, o tai leidžia įtarti tikslinę operaciją. 

Dvi kampanijos, piktnaudžiaujančios Claude prekės ženklu 

Balandį pastebimai padaugėjo kenkėjiškų programų, prisidengiančių Claude prekės ženklu, ir tai pasireiškė dviem būdais. 

Labiau matomas variantas buvo kenkėjiška reklama (angl. malvertising). Beveik visą balandį Google paieška „claude code install“ – o vėliau tą patį mėnesį ir „claude desktop install“ – patikimai grąžindavo remiamą rezultatą virš teisėto Anthropic puslapio. Skelbimai vedė į įtikinamai padarytas svetaines, imituojančias „Anthropic“ dokumentaciją, kuriose vartotojui buvo nurodoma įklijuoti komandą į terminalą – tas pats diegimo modelis kaip ir oficialiame puslapyje, tik atsisiuntimo URL pakeistas į užpuoliko valdomą infrastruktūrą. Įklijuota komanda parsisiųsdavo ir paleisdavo „infostealer“ tipo kenkėjišką programą, kuri rinkdavo naršyklėje saugomus prisijungimo duomenis, sesijos slapukus ir kripto piniginių duomenis. Remiami skelbimai būdavo pašalinami per kelias valandas ar dienas, bet beveik kasdien po naujomis reklamuotojų paskyromis atsirasdavo naujų. 

Atskirai Zscaler užfiksavo kampaniją, išnaudojančią ažiotažą dėl atsitiktinio Claude Code šaltinio kodo nutekėjimo. Grėsmės vykdytojas paskelbė trojanizuotas GitHub saugyklas, reklamuojamas kaip nutekintas šaltinio kodas. Archyvai pristatė Vidar v18.7 ir GhostSocks kenkėjiškas programas, o kenkėjiškos GitHub saugyklos kelias dienas užėmė aukštą poziciją paieškos rezultatuose. 

CVE-2017-0199 fišingo banga, atakuojanti Lietuvą 

Balandžio pabaigoje fiksavome fišingo bangą, nukreiptą į Lietuvos organizacijas, naudojant kenkėjiškus Excel dokumentus, kurie išnaudoja CVE-2017-0199 – devynerių metų senumo Office/WordPad loginę klaidą OLE2Link apdorojime. Masalas buvo lietuviška sąskaita („Sąskaita faktūra 6336111.xls“), siunčiama į viešai prieinamus lietuviškus el. pašto adresus ir platinanti FormBook kenkėjišką programą – panašią kampaniją Fortinet dokumentavo 2025 m. birželį. Užfiksavome daugiau nei 100 tokių laiškų skirtinguose sektoriuose, o tai rodo platų, neprofiliuotą platinimą, o ne tikslinį. Visi į Microsoft talpinamas pašto dėžutes pasiekę laiškai buvo izoliuoti karantine, tačiau tą patį fišingą stebėjome ir asmeninėse lietuvių gavėjų Gmail dėžutėse, kur Defender apsauga negaliojo. Tai, kad 2017 m. CVE vis dar veikia 2026 m., rodo, jog operatoriai tikisi ilgosios uodegos efekto – kad dalis Lietuvos vartotojų vis dar naudoja pasenusią, neatnaujintą Office versiją. 

Kas dar nutiko 2026 m. balandį? 

Irano APT taikiniai – JAV PLC įrenginiai. CISA balandžio 7 d. pranešė, kad su Irano IRGC kibernetine elektronine vadovybe susiję grėsmių vykdytojai bent nuo kovo atakuoja viešai prieinamus Rockwell/Allen-Bradley PLC įrenginius JAV viešojo administravimo, vandentvarkos ir energetikos sektoriuose – manipuliuojama HMI/SCADA, išgaunami projektų failai, kai kuriais atvejais sutrikdoma operacinė veikla. 

Venecijos potvynių siurbliai – tariamai. Grupė, vadinanti save „Infrastructure Destruction Squad“, balandžio 12 d. paskelbė turinti administracinę prieigą prie San Marko apsaugos nuo potvynių siurblinės sistemos ir Telegram platformoje pasiūlė root prieigą už 600 USD. Teiginio tikrumas neaiškus, tačiau visuomenės saugumo aspektas verčia į tai atkreipti dėmesį. 

FortiClient EMS autentifikacijos apėjimas. Fortinet balandžio 5 d. (savaitgalį) išleido skubų atnaujinimą CVE-2026-35616 – kritiniam netinkamos prieigos kontrolės pažeidžiamumui, leidžiančiam neautentifikuotą nuotolinį kodo vykdymą. Pasaulyje aptikta daugiau nei 2 000 atvirų intancijų, daugiausia JAV ir Vokietijoje. 

SharePoint nulinės dienos pažeidžiamumas (CVE-2026-32201). Į Microsoft balandžio „Patch Tuesday“ atnaujinimus buvo įtrauktas vienas aktyviai išnaudojamas nulinės dienos pažeidžiamumas – SharePoint klastojimo (spoofing) klaida, naudojama informacijai peržiūrėti ar pakeisti internetui prieinamuose SharePoint serveriuose. CISA tą pačią savaitę užfiksavo aktyvų išnaudojimą ir žvalgybą. 

Žvelgiant į priekį 

• Patikrinkite diegimo komandas prieš jas įklijuodami. Kopijavimo-įklijavimo diegimo srautus (bash/PowerShell „vienos eilutės“ komandas) iš remiamos reklamos lengva suklastoti. Prieš paleisdami bet ką iš paieškos rezultato, įsitikinkite, kad atsisiuntimo URL atitinka gamintojo oficialiai dokumentuotą domeną – ir ne tik aukščiausio lygio domeną, bet ir visą kelią. 

• Įgyvendinkite Office ASR taisykles. Lietuvius pasiekianti kampanija 2026 m. dažniausiai rodo pasenusią, neatnaujintą Office gavėjo pusėje – bet pats lopymas neturėtų būti vienintelė gynybos linija. „Protected View“, antrinių procesų blokavimas iš Office programų ir ASR taisyklės pagaus kitą OLE ar makrokomandų triuką nepriklausomai nuo atnaujinimų būsenos. 

Balandį daugiausia matėme pažįstamus atakų metodus, tik naujai nupoliruotus. Adobe nulinės dienos pažeidžiamumas buvo tikrai naujas dalykas; suklastotus diegimo srautus ir 2017 m. CVE fišinge esame matę ir anksčiau. Keičiasi tik mastas ir piktnaudžiaujamas prekės ženklas. 

Šaltiniai 

• CERT-EU – Cyber Brief 26-05 (April 2026)
• BleepingComputer – Hackers exploiting Acrobat Reader zero-day flaw since December 
• Malwarebytes – Fake Claude site installs malware that gives attackers access to your computer 
• Zscaler – Anthropic Claude Code leak lure delivers Vidar and GhostSocks 
• Fortinet – How a malicious Excel file (CVE-2017-0199) delivers the FormBook payload 
• CISA – Iranian state-sponsored cyber actors targeting OT/ICS (AA26-097A)
• Security Affairs – Hackers claim control over Venice San Marco anti-flood pumps 

Šis straipsnis – dalis „SOCshare“ projekto, kuriuo siekiama skatinti efektyvesnį dalijimąsi informacija apie kibernetines grėsmes ir jų aptikimo būdus. Projektą iš dalies finansuoja Europos Sąjunga. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.