自2025年11月起,多个商业监控供应商及国家背景的黑客组织开始使用一款名为DarkSword的高度复杂iOS漏洞利用工具包。该工具通过对沙特阿拉伯、土耳其、马来西亚和乌克兰四国iPhone用户的定向攻击,成功窃取了大量敏感个人数据。
DarkSword本质上是一个全链条的iOS漏洞利用工具。它通过精巧地串联六个不同的安全漏洞(其中四个在发现时还是未知的0Day漏洞),实现了对运行iOS 18.4至18.7版本iPhone设备的完全控制。
六漏洞串联攻击链
该漏洞利用链最引人注目的特点在于其完全基于JavaScript运行。这使得攻击者能够绕过苹果精心设计的页面保护层(PPL)和安全页表监视器(SPTM)等核心安全机制——这些机制本意是阻止执行未签名的原生二进制代码。
谷歌威胁情报小组(GTIG)、iVerify和Lookout等安全团队通过对恢复的攻击载荷进行分析,确认了该工具包的名称,并追踪到其已被用于上述四国的定向攻击活动中。
整个攻击链条始于针对JavaScriptCore的远程代码执行漏洞利用。JavaScriptCore是Safari和WebKit所使用的苹果官方JavaScript引擎。成功执行远程代码后,攻击会依次经历两个沙箱逃逸阶段和一个本地权限提升阶段,最终部署恶意载荷,从而让攻击者获得完整的内核级权限。
其中,编号为CVE-2026-20700的漏洞尤为关键。它是苹果dyld动态链接器中的一个指针认证码(PAC)绕过漏洞。该漏洞与另外两个远程代码执行漏洞直接串联使用,且在GTIG向苹果报告后,直到iOS 26.3版本才得以修复,显示出其隐蔽性和危害性。
安全研究人员还识别出三种不同的后渗透恶意软件家族。这些恶意软件在DarkSword成功入侵设备后被部署,各自针对不同攻击者的需求进行了专门定制,体现了现代攻击工具的模块化与专业化趋势。
恶意软件家族分析
攻击活动背后是三个不同的威胁组织,它们使用了定制化的恶意软件。
威胁集群UNC6748通过一个仿冒Snapchat的钓鱼网站(snapshare[.]chat)来传播其恶意软件GHOSTKNIFE。这是一个JavaScript后门,能够窃取设备上已登录的各类账户、消息、浏览器数据、位置历史甚至麦克风录音。它使用基于ECDH和AES加密的自定义二进制协议与命令控制服务器通信,并且会主动删除设备上的崩溃日志以躲避取证分析。
土耳其的商业监控供应商PARS Defense则在针对土耳其和马来西亚的攻击中使用了GHOSTSABER。这款恶意软件功能强大,支持超过15种不同的命令控制指令,包括设备信息枚举、文件窃取、执行任意SQLite查询以及上传照片缩略图等。有趣的是,像录音和实时地理位置跟踪这类功能在JavaScript植入程序中并未完全实现,暗示运行时可能会从服务器下载后续的二进制模块来补充能力。
疑似与俄罗斯有关的间谍组织UNC6353则使用了GHOSTBLADE。这是一个全面的数据挖掘工具,其窃取范围覆盖iMessages、Telegram和WhatsApp数据、加密货币钱包信息、Safari浏览历史与Cookie、健康数据库、设备钥匙串、位置历史以及保存的Wi-Fi密码。与其他两个家族不同,GHOSTBLADE并非持续运行的交互式后门,但其极其广泛的数据收集能力使其对情报搜集行动具有极高价值。研究人员在GHOSTBLADE的代码中发现了一个名为startSandworm()的未实现函数引用,这可能是另一个即将登场的漏洞利用工具的代号。
攻击传播方式
不同的攻击者采用了各具特色的传播手段。
UNC6748依赖于一个假冒的Snapchat网站来传播DarkSword。他们使用了经过混淆且具备反调试保护和会话存储指纹识别功能的JavaScript加载器,以避免对同一受害者进行重复感染。
PARS Defense则展现了更高的操作安全意识。他们升级了传播机制,利用攻击者基础设施与受害者设备之间的ECDH密钥交换来对漏洞利用阶段进行加密,增加了安全人员分析和拦截的难度。
而疑似俄罗斯间谍组织UNC6353(此前曾与Coruna iOS漏洞利用工具包有关联)则采取了更隐蔽的“水坑攻击”方式。他们将恶意代码嵌入被攻陷的乌克兰网站中,通过隐藏的iFrame静默加载DarkSword。一个有力的佐证是,在UNC6353的源代码中发现了一条用俄语编写的注释。GTIG一直在与乌克兰的计算机应急响应小组(CERT-UA)合作,以应对这场持续到2026年3月的攻击活动。
攻击模式全面升级
综合来看,这些攻击活动标志着一个明显的趋势:攻击模式正从相对简单的社会工程学攻击,向高度模块化、隐蔽且以数据窃取为核心的运营模式转变。这既反映了攻击者为适应防御措施而做出的调整,也体现了其技术能力的日益成熟。
一份安全报告总结道:“这三个攻击活动展示了多种战术创新,以及对传统攻击模式的改进。虽然都利用了生成式AI作为诱饵,但从冒充知名企业的恶意网站转向分享ChatGPT对话,标志着社会工程技术的重大演变。攻击者成功利用了两大优势:在可信域名上托管恶意内容,以及利用了当时人们对ChatGPT对话分享这一相对新颖行为较低的戒心。”
GTIG在2025年底向苹果公司报告了所有与DarkSword相关的漏洞。值得庆幸的是,涉及的全部六个CVE漏洞随后都获得了修复,其中大部分在iOS 26.3发布前就已解决。谷歌也已将所有已识别的DarkSword传播域名添加到了安全浏览警告列表中。
对于广大用户而言,最有效的防护措施是立即将设备更新至最新版本的iOS系统。如果因故无法立即更新,强烈建议在设置中启用“锁定模式”,这将为此类复杂的漏洞利用攻击提供额外的防护层。
参考来源:
New iOS Exploit With Advanced iPhone Hacking Tools Attacking Users to Steal Personal Data
https://cybersecuritynews.com/darksword-ios-exploit/
对移动安全,尤其是iOS和Android平台的漏洞与防护技术感兴趣的开发者,可以到 云栈社区 的 Android/iOS 板块 与其他技术同仁交流探讨。
发表于 3 小时前
|
查看: 1|
回复: 0
