„DarkSword“ iOS spragų rinkinys
Žvalgybos duomenys atskleidžia sudėtingą kibernetinę kampaniją, priskiriamą TA446 – grupuotei, plačiai žinomai tokiais slapyvardžiais kaip „Callisto“, „COLDRIVER“ ir „Star Blizzard“. Šis veikėjas yra glaudžiai susijęs su Rusijos federaline saugumo tarnyba.
Istoriškai ši grupė specializavosi tikslinėse sukčiavimo operacijose, kuriomis buvo siekiama išgauti kredencialų duomenis. Per pastaruosius metus jos taktika vystėsi ir dabar apima atakas prieš „WhatsApp“ paskyras bei pritaikytų kenkėjiškų programų šeimų, skirtų slaptai informacijai išgauti iš vertingų asmenų, diegimą.
Turinys
„DarkSword“ panaudojimas ginklu prieš „iOS“ įrenginius
Naujai atskleistas atakų rinkinys „DarkSword“ leido šiam kenkėjiškų programų kūrėjui išplėsti savo veiklą į „Apple“ įrenginius. Tai žymi reikšmingą pokytį, nes ankstesnės kampanijos nebuvo orientuotos į „iCloud“ paskyras ar „iOS“ ekosistemas.
Šis atakos rinkinys naudojamas duomenų rinkimo paketui „GHOSTBLADE“ pristatyti per kruopščiai parengtus sukčiavimo el. laiškus. Šie pranešimai apsimetinėja Atlanto tarybos kvietimais ir buvo platinami per pažeistas el. pašto paskyras 2026 m. kovo 26 d. Tarp taikinių buvo Leonidas Volkovas, pabrėžiant kampanijos politinį aspektą.
Pastebima techninė ypatybė yra selektyvus taikymas: ne „iPhone“ naudotojai nukreipiami į nekenksmingus masalo PDF failus, o tai rodo serverio pusės filtravimą, skirtą atakai pateikti tik suderinamiems „Apple“ įrenginiams.
Infrastruktūra ir kenkėjiškų programų platinimo metodai
Analizė patvirtina, kad kampanija naudoja daugiapakopę užkrėtimo grandinę, kurią palaiko grėsmės veikėjo kontroliuojama infrastruktūra. Įrodymai apima nuorodas „DarkSword“ įkrovos programoje į antrinį domeną, naudojamą atakos gyvavimo cikle.
Svarbiausi stebimi techniniai elementai:
- „DarkSword“ atakų rinkinio komponentų, įskaitant peradresavimo programas, atakų įkėlimo programas, nuotolinio kodo vykdymo mechanizmus ir žymeklio autentifikavimo kodo (PAC) apėjimo galimybes, pristatymas
- Nėra „smėlio dėžės“ tipo pabėgimo technikų, rodančių dalinį, bet vis tiek labai pavojingą išnaudojimo diegimą.
- MAYBEROBOT galinių durų platinimas per slaptažodžiu apsaugotus ZIP archyvus
Platesnio tikslinio taikymo signalai rodo strateginį pokytį
Taikinių taikymo sritis gerokai išsiplėtė ir neapsiriboja tradiciniais žvalgybos tikslais. Dabar aukomis tampa organizacijos iš įvairių sektorių:
- Vyriausybės institucijos
Šis platesnis taikinių modelis rodo oportunistinę strategiją, kurią greičiausiai nulėmė naujai įgytos „DarkSword“ įrankių rinkinio galimybės. Atrodo, kad kampanijoje šnipinėjimo tikslai derinami su keičiamo mastelio kredencialų rinkimo operacijomis.
Didėjanti rizika: išnaudokite rinkinio nutekėjimą ir demokratizaciją
Padėtį dar labiau apsunkina viešai nutekėjusi „DarkSword“ informacija „GitHub“ platformoje. Šioje versijoje pristatoma „plug-and-play“ versija, leidžianti lengviau įsilaužti į sistemą mažiau patyrusiems užpuolikams.
Pasekmės yra didelės:
- Pažangūs nacionalinių valstybių pajėgumai gali tapti prieinami kibernetinėms nusikaltėlių grupuotėms
- Mobiliųjų grėsmių aktyvumas gali padidėti tiek apimtimi, tiek įvairove
- „iOS“ įrenginių, kaip savaime saugių, suvokimas gerokai susilpnėjo.
Didelio svarbos atsako signalai
Reaguodama į didėjančią grėsmę, „Apple“ ėmėsi neįprasto žingsnio – siunčia užrakinimo ekrano įspėjimus vartotojams, naudojantiems pasenusias „iOS“ ir „iPadOS“ versijas. Šie pranešimai įspėja apie aktyvius bandymus įsilaužti į interneto svetaines ir primygtinai ragina nedelsiant atnaujinti sistemą.
Ši prevencinė priemonė rodo, kad grėsmė neapsiriboja pavieniais, didelio atgarsio taikiniais, bet yra laikoma pakankamai plačiai paplitusia, kad pateisintų tiesioginį naudotojų įsikišimą.
Išvada: lūžio taškas mobiliųjų grėsmių kraštovaizdyje
„DarkSword“ atakų rinkinio atsiradimas ir netinkamas naudojimas žymi esminį mobiliojo kibernetinio saugumo pokytį. Kampanija rodo, kad pažangus „iOS“ atakų išnaudojimas nebėra apsiriboja itin tikslinėmis žvalgybos operacijomis. Vietoj to, valstybės remiamų taktikų ir viešai prieinamų įrankių suartėjimas keičia grėsmių aplinką į tokią, kurioje net plačiai paskirstytos atakos gali pasinaudoti elitiniais pajėgumais.
