کیت نفوذ DarkSword iOS

اطلاعات، یک کمپین سایبری پیچیده را که به TA446 نسبت داده می‌شود، آشکار می‌کند. این گروه با نام‌های مستعاری مانند Callisto، COLDRIVER و Star Blizzard شناخته می‌شود. این عامل ارتباط نزدیکی با سرویس امنیت فدرال روسیه دارد.

از نظر تاریخی، این گروه در عملیات فیشینگ هدفمند با هدف برداشت اطلاعات کاربری تخصص داشته است. در طول سال گذشته، تاکتیک‌های آن تکامل یافته و شامل هدف قرار دادن حساب‌های واتس‌اپ و استقرار خانواده‌های بدافزار سفارشی شده است که برای استخراج اطلاعات حساس از افراد با ارزش بالا طراحی شده‌اند.

استفاده از DarkSword به عنوان سلاح علیه دستگاه‌های iOS

یک کیت بهره‌برداری تازه افشا شده، به نام DarkSword، این عامل تهدید را قادر ساخته است تا عملیات خود را به دستگاه‌های اپل گسترش دهد. این یک تغییر قابل توجه است، زیرا کمپین‌های قبلی بر حساب‌های iCloud یا اکوسیستم‌های iOS تمرکز نداشتند.

این کیت بهره‌برداری برای ارائه بدافزار GHOSTBLADE، یک بدافزار جمع‌آوری داده، از طریق ایمیل‌های فیشینگ با دقت طراحی‌شده استفاده می‌شود. این پیام‌ها دعوت‌نامه‌هایی از شورای آتلانتیک را جعل می‌کنند و از طریق حساب‌های ایمیل هک‌شده در تاریخ ۲۶ مارس ۲۰۲۶ توزیع شده‌اند. لئونید ولکوف، از جمله اهداف این حمله بود که بر ابعاد سیاسی این کمپین تأکید دارد.

یک ویژگی فنی قابل توجه شامل هدف‌گیری گزینشی است: کاربران غیر آیفون به فایل‌های PDF بی‌ضرر هدایت می‌شوند، که نشان می‌دهد فیلترینگ سمت سرور برای ارائه بهره‌برداری منحصراً به دستگاه‌های سازگار اپل طراحی شده است.

زیرساخت‌ها و تکنیک‌های انتقال بدافزار

تجزیه و تحلیل‌ها تأیید می‌کند که این کمپین از یک زنجیره آلودگی چند مرحله‌ای که توسط زیرساخت‌های تحت کنترل عامل تهدید پشتیبانی می‌شود، استفاده می‌کند. شواهد شامل ارجاعاتی در یک بارگذار DarkSword به یک دامنه ثانویه است که در چرخه حیات حمله استفاده می‌شود.

عناصر فنی کلیدی مشاهده شده عبارتند از:

• ارائه اجزای کیت اکسپلویت DarkSword، شامل redirectorها، exploit loaders، مکانیسم‌های اجرای کد از راه دور و قابلیت‌های دور زدن Pointer Authentication Code (PAC)
• عدم وجود تکنیک‌های فرار از سندباکس، که نشان‌دهنده‌ی استقرار اکسپلویت جزئی اما همچنان بسیار خطرناک است
• توزیع درب پشتی MAYBEROBOT از طریق فایل‌های فشرده محافظت‌شده با رمز عبور

هدف‌گیری گسترده‌تر، نشان‌دهنده تغییر استراتژیک است

دامنه هدف قرار دادن به طور قابل توجهی فراتر از اهداف اطلاعاتی سنتی گسترش یافته است. قربانیان اکنون شامل سازمان‌هایی در بخش‌های مختلف می‌شوند:

• نهادهای دولتی

این الگوی هدف‌گیری گسترده‌تر، نشان‌دهنده‌ی یک استراتژی فرصت‌طلبانه است که احتمالاً توسط قابلیت‌های تازه به‌دست‌آمده از ابزار DarkSword هدایت می‌شود. به نظر می‌رسد این کمپین، اهداف جاسوسی را با عملیات جمع‌آوری اعتبارنامه‌های مقیاس‌پذیر ترکیب می‌کند.

افزایش ریسک: نشت کیت بهره‌برداری و دموکراتیزه شدن

این وضعیت با افشای عمومی DarkSword در گیت‌هاب پیچیده‌تر هم شده است. این نسخه، نسخه‌ی plug-and-play از کیت بهره‌برداری را معرفی می‌کند و موانع ورود مهاجمان ساده‌تر را کاهش می‌دهد.

پیامدهای آن قابل توجه است:

• قابلیت‌های پیشرفته‌ی دولت-ملت ممکن است در دسترس گروه‌های مجرمان سایبری قرار گیرد.
• فعالیت‌های تهدید موبایل می‌تواند هم از نظر حجم و هم از نظر تنوع افزایش یابد
• تصور اینکه دستگاه‌های iOS ذاتاً امن هستند، به طور قابل توجهی تضعیف شده است.

سیگنال‌های پاسخ با شدت بالا

در پاسخ به این تهدید رو به رشد، اپل در اقدامی غیرمعمول، هشدارهایی را در صفحه قفل برای کاربرانی که از نسخه‌های قدیمی iOS و iPadOS استفاده می‌کنند، منتشر کرده است. این اعلان‌ها، تلاش‌های فعال برای بهره‌برداری مبتنی بر وب را هشدار می‌دهند و اکیداً خواستار به‌روزرسانی فوری سیستم هستند.

این اقدام پیشگیرانه نشان می‌دهد که این تهدید محدود به اهداف منزوی و برجسته نیست، بلکه به اندازه کافی گسترده در نظر گرفته می‌شود که مداخله مستقیم کاربر را ایجاب کند.

نتیجه‌گیری: نقطه عطفی در چشم‌انداز تهدیدات موبایل

ظهور و سوءاستفاده از کیت اکسپلویت DarkSword نشان‌دهنده یک تحول حیاتی در امنیت سایبری موبایل است. این کمپین نشان می‌دهد که اکسپلویت پیشرفته iOS دیگر محدود به عملیات اطلاعاتی بسیار هدفمند نیست. در عوض، همگرایی تاکتیک‌های تحت حمایت دولت و ابزارهای عمومی در حال تغییر چشم‌انداز تهدید به گونه‌ای است که حتی حملات گسترده نیز می‌توانند از قابلیت‌های نخبگان استفاده کنند.