ชุดเครื่องมือเจาะระบบ DarkSword สำหรับ iOS

ข้อมูลข่าวกรองเปิดเผยถึงปฏิบัติการโจมตีทางไซเบอร์ที่ซับซ้อน ซึ่งเชื่อว่าเป็นฝีมือของกลุ่ม TA446 กลุ่มที่รู้จักกันอย่างกว้างขวางภายใต้ชื่อแฝงต่างๆ เช่น Callisto, COLDRIVER และ Star Blizzard กลุ่มนี้มีความเชื่อมโยงอย่างแน่นแฟ้นกับหน่วยงานความมั่นคงแห่งชาติของรัสเซีย

ในอดีต กลุ่มนี้เชี่ยวชาญด้านการโจมตีแบบสเปียร์ฟิชชิ่งโดยมีเป้าหมายเพื่อขโมยข้อมูลประจำตัว ในช่วงปีที่ผ่านมา กลยุทธ์ของพวกเขาได้พัฒนาไปสู่การโจมตีบัญชี WhatsApp และใช้มัลแวร์ตระกูลพิเศษที่ออกแบบมาเพื่อขโมยข้อมูลสำคัญจากบุคคลสำคัญระดับสูง

การใช้ DarkSword เป็นอาวุธโจมตีอุปกรณ์ iOS

ชุดเครื่องมือโจมตี DarkSword ที่เพิ่งถูกเปิดเผยใหม่นี้ ทำให้กลุ่มผู้คุกคามนี้สามารถขยายการปฏิบัติการไปยังอุปกรณ์ของ Apple ได้ ซึ่งถือเป็นการเปลี่ยนแปลงครั้งสำคัญ เนื่องจากแคมเปญก่อนหน้านี้ไม่ได้มุ่งเน้นไปที่บัญชี iCloud หรือระบบนิเวศของ iOS

ชุดเครื่องมือโจมตีนี้ใช้ในการส่ง GHOSTBLADE ซึ่งเป็นเพย์โหลดสำหรับเก็บรวบรวมข้อมูล ผ่านอีเมลฟิชชิงที่สร้างขึ้นอย่างพิถีพิถัน ข้อความเหล่านี้ปลอมแปลงเป็นคำเชิญจาก Atlantic Council และถูกส่งผ่านบัญชีอีเมลที่ถูกแฮ็กเมื่อวันที่ 26 มีนาคม 2026 หนึ่งในเป้าหมายคือ Leonid Volkov ซึ่งเน้นย้ำถึงมิติทางการเมืองของแคมเปญนี้

ลักษณะทางเทคนิคที่น่าสนใจอย่างหนึ่งคือการกำหนดเป้าหมายแบบเลือกสรร: ผู้ใช้ที่ไม่ได้ใช้ iPhone จะถูกเปลี่ยนเส้นทางไปยังไฟล์ PDF ลวงที่ไม่เป็นอันตราย ซึ่งบ่งชี้ว่ามีการกรองฝั่งเซิร์ฟเวอร์ที่ออกแบบมาเพื่อส่งช่องโหว่นี้ไปยังอุปกรณ์ Apple ที่เข้ากันได้เท่านั้น

โครงสร้างพื้นฐานและเทคนิคการส่งมอบมัลแวร์

ผลการวิเคราะห์ยืนยันว่าแคมเปญนี้ใช้ห่วงโซ่การติดเชื้อหลายขั้นตอนซึ่งได้รับการสนับสนุนจากโครงสร้างพื้นฐานที่ควบคุมโดยผู้ก่อภัยคุกคาม หลักฐานรวมถึงการอ้างอิงภายในตัวโหลด DarkSword ถึงโดเมนรองที่ใช้ในวงจรการโจมตี

องค์ประกอบทางเทคนิคที่สำคัญที่พบ ได้แก่:

• การส่งมอบส่วนประกอบของชุดเครื่องมือโจมตี DarkSword ซึ่งรวมถึงตัวเปลี่ยนเส้นทาง ตัวโหลดการโจมตี กลไกการเรียกใช้โค้ดจากระยะไกล และความสามารถในการข้ามการตรวจสอบความถูกต้องของตัวชี้ (PAC)
• การขาดเทคนิคการหลบหนีจากแซนด์บ็อกซ์ บ่งชี้ว่าการใช้งานช่องโหว่ยังไม่สมบูรณ์ แต่ยังคงอันตรายอย่างยิ่ง
• การเผยแพร่แบ็กดอร์ MAYBEROBOT ผ่านไฟล์ ZIP ที่ป้องกันด้วยรหัสผ่าน

การกำหนดเป้าหมายที่กว้างขึ้นบ่งชี้ถึงการเปลี่ยนแปลงเชิงกลยุทธ์

ขอบเขตของการกำหนดเป้าหมายได้ขยายออกไปอย่างมากเกินกว่าวัตถุประสงค์ด้านข่าวกรองแบบดั้งเดิม ปัจจุบันเหยื่อรวมถึงองค์กรต่างๆ ในหลากหลายภาคส่วน:

• สถาบันของรัฐบาล

รูปแบบการกำหนดเป้าหมายที่กว้างขึ้นนี้บ่งชี้ถึงกลยุทธ์ฉวยโอกาส ซึ่งน่าจะได้รับแรงผลักดันจากความสามารถใหม่ของชุดเครื่องมือ DarkSword แคมเปญนี้ดูเหมือนจะผสมผสานวัตถุประสงค์ด้านการจารกรรมเข้ากับการปฏิบัติการเก็บรวบรวมข้อมูลส่วนบุคคลที่สามารถขยายขนาดได้

ความเสี่ยงที่เพิ่มสูงขึ้น: การรั่วไหลของชุดเครื่องมือโจมตีและการกระจายอำนาจสู่สาธารณะ

สถานการณ์ยิ่งซับซ้อนขึ้นไปอีกเนื่องจากการรั่วไหลของ DarkSword สู่สาธารณะบน GitHub การเผยแพร่ครั้งนี้เป็นการนำชุดเครื่องมือโจมตีเวอร์ชันที่ใช้งานง่ายมาใช้ ซึ่งช่วยลดอุปสรรคในการเข้าถึงสำหรับผู้โจมตีที่ไม่เชี่ยวชาญมากนัก

ผลกระทบที่เกิดขึ้นนั้นร้ายแรงมาก:

• ขีดความสามารถขั้นสูงของรัฐชาติอาจตกเป็นเป้าหมายของกลุ่มอาชญากรไซเบอร์ได้
• กิจกรรมภัยคุกคามบนมือถืออาจเพิ่มขึ้นทั้งในด้านปริมาณและความหลากหลาย
• ความเชื่อมั่นว่าอุปกรณ์ iOS มีความปลอดภัยโดยเนื้อแท้ได้ลดลงอย่างมาก

สัญญาณตอบสนองรุนแรงมาก

เพื่อรับมือกับภัยคุกคามที่เพิ่มมากขึ้น แอปเปิลได้采取มาตรการที่ไม่ปกติ โดยการแจ้งเตือนบนหน้าจอล็อกไปยังผู้ใช้ที่ใช้ iOS และ iPadOS เวอร์ชันเก่า การแจ้งเตือนเหล่านี้จะเตือนถึงความพยายามในการโจมตีทางเว็บ และกระตุ้นให้ทำการอัปเดตระบบโดยทันที

มาตรการเชิงรุกนี้แสดงให้เห็นว่าภัยคุกคามไม่ได้จำกัดอยู่เฉพาะเป้าหมายที่มีชื่อเสียงโดดเด่นเท่านั้น แต่ถือว่าแพร่หลายมากพอที่จะต้องมีการแทรกแซงโดยตรงจากผู้ใช้

สรุป: จุดเปลี่ยนในภูมิทัศน์ภัยคุกคามบนมือถือ

การปรากฏตัวและการใช้ชุดเครื่องมือโจมตี DarkSword ในทางที่ผิด ถือเป็นการเปลี่ยนแปลงครั้งสำคัญในด้านความปลอดภัยทางไซเบอร์บนมือถือ แคมเปญนี้แสดงให้เห็นว่าการโจมตีระบบ iOS ขั้นสูงไม่ได้จำกัดอยู่เฉพาะปฏิบัติการข่าวกรองที่มีเป้าหมายเฉพาะเจาะจงอีกต่อไป แต่การผสานรวมของยุทธวิธีที่ได้รับการสนับสนุนจากรัฐและเครื่องมือที่เปิดเผยต่อสาธารณะกำลังเปลี่ยนแปลงภูมิทัศน์ของภัยคุกคามไปสู่สถานการณ์ที่แม้แต่การโจมตีที่กระจายวงกว้างก็สามารถใช้ประโยชน์จากความสามารถของกลุ่มผู้เชี่ยวชาญได้