Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Mac Bộ công cụ khai thác lỗ hổng DarkSword dành cho iOS

Bộ công cụ khai thác lỗ hổng DarkSword dành cho iOS

Đến năm Mezo năm Phần mềm độc hại Mac
Dịch sang:

Thông tin tình báo tiết lộ một chiến dịch tấn công mạng tinh vi được cho là do TA446 thực hiện, một nhóm được biết đến rộng rãi với các bí danh như Callisto, COLDRIVER và Star Blizzard. Nhóm này có liên hệ mật thiết với Cơ quan An ninh Liên bang Nga.

Trước đây, nhóm này chuyên về các hoạt động tấn công lừa đảo có chủ đích nhằm thu thập thông tin đăng nhập. Trong năm qua, chiến thuật của chúng đã phát triển để bao gồm việc nhắm mục tiêu vào các tài khoản WhatsApp và triển khai các họ phần mềm độc hại tùy chỉnh được thiết kế để đánh cắp thông tin nhạy cảm từ các cá nhân có giá trị cao.

Sử dụng DarkSword như một vũ khí chống lại các thiết bị iOS

Bộ công cụ khai thác lỗ hổng mới được tiết lộ, bộ công cụ khai thác DarkSword, đã cho phép nhóm tội phạm này mở rộng hoạt động sang các thiết bị của Apple. Điều này đánh dấu một sự thay đổi đáng kể, vì các chiến dịch trước đây không tập trung vào tài khoản iCloud hoặc hệ sinh thái iOS.

Bộ công cụ khai thác được sử dụng để phát tán GHOSTBLADE, một phần mềm thu thập dữ liệu, thông qua các email lừa đảo được soạn thảo kỹ lưỡng. Những tin nhắn này giả mạo lời mời từ Hội đồng Đại Tây Dương và được phân phối qua các tài khoản email bị xâm nhập vào ngày 26 tháng 3 năm 2026. Trong số các mục tiêu có Leonid Volkov, làm nổi bật khía cạnh chính trị của chiến dịch này.

Một đặc điểm kỹ thuật đáng chú ý liên quan đến việc nhắm mục tiêu có chọn lọc: người dùng không sử dụng iPhone sẽ được chuyển hướng đến các tệp PDF giả mạo vô hại, cho thấy bộ lọc phía máy chủ được thiết kế để chỉ cung cấp lỗ hổng bảo mật cho các thiết bị Apple tương thích.

Cơ sở hạ tầng và các kỹ thuật phát tán phần mềm độc hại

Phân tích xác nhận rằng chiến dịch này tận dụng chuỗi lây nhiễm nhiều giai đoạn được hỗ trợ bởi cơ sở hạ tầng do kẻ tấn công kiểm soát. Bằng chứng bao gồm các tham chiếu trong trình tải DarkSword đến một tên miền phụ được sử dụng trong vòng đời tấn công.

Các yếu tố kỹ thuật chính được quan sát bao gồm:

  • Cung cấp các thành phần của bộ công cụ khai thác DarkSword, bao gồm các trình chuyển hướng, trình tải khai thác, cơ chế thực thi mã từ xa và khả năng vượt qua Mã xác thực con trỏ (PAC).
  • Việc thiếu các kỹ thuật thoát khỏi môi trường sandbox cho thấy đây là một lỗ hổng bảo mật chưa hoàn thiện nhưng vẫn cực kỳ nguy hiểm.
  • Phân phối phần mềm độc hại MAYBEROBOT thông qua các tệp lưu trữ ZIP được bảo vệ bằng mật khẩu.

Việc mở rộng phạm vi nhắm mục tiêu báo hiệu sự chuyển đổi chiến lược.

Phạm vi nhắm mục tiêu đã mở rộng đáng kể vượt ra ngoài các mục tiêu tình báo truyền thống. Nạn nhân hiện nay bao gồm các tổ chức thuộc nhiều lĩnh vực khác nhau:

  • Các cơ quan chính phủ
  • Các viện nghiên cứu và tổ chức tư vấn
  • Các tổ chức giáo dục đại học
  • Lĩnh vực tài chính và pháp lý

Mô hình nhắm mục tiêu rộng hơn này cho thấy một chiến lược mang tính cơ hội, có khả năng được thúc đẩy bởi các khả năng mới có được từ bộ công cụ DarkSword. Chiến dịch này dường như kết hợp các mục tiêu gián điệp với các hoạt động thu thập thông tin đăng nhập quy mô lớn.

Rủi ro leo thang: Rò rỉ bộ công cụ khai thác và dân chủ hóa

Tình hình càng trở nên phức tạp hơn do việc DarkSword bị rò rỉ công khai trên GitHub. Bản phát hành này giới thiệu một phiên bản "cắm là chạy" của bộ công cụ khai thác, làm giảm rào cản gia nhập đối với những kẻ tấn công ít kinh nghiệm hơn.

Hậu quả là rất nghiêm trọng:

  • Các năng lực tiên tiến của quốc gia có thể trở nên dễ tiếp cận đối với các nhóm tội phạm mạng.
  • Hoạt động đe dọa từ thiết bị di động có thể gia tăng cả về số lượng và mức độ đa dạng.
  • Quan niệm về tính bảo mật vốn có của các thiết bị iOS đã bị suy yếu đáng kể.

Phản hồi cho thấy mức độ nghiêm trọng cao.

Trước mối đe dọa ngày càng gia tăng, Apple đã thực hiện một bước đi bất thường là phát cảnh báo trên màn hình khóa cho người dùng đang sử dụng các phiên bản iOS và iPadOS lỗi thời. Những thông báo này cảnh báo về các nỗ lực khai thác lỗ hổng bảo mật trên web đang diễn ra và khuyến nghị mạnh mẽ người dùng cập nhật hệ thống ngay lập tức.

Biện pháp chủ động này cho thấy mối đe dọa không chỉ giới hạn ở các mục tiêu riêng lẻ, nổi bật mà còn lan rộng đến mức cần sự can thiệp trực tiếp của người dùng.

Kết luận: Một bước ngoặt trong bức tranh về các mối đe dọa trên thiết bị di động

Sự xuất hiện và lạm dụng bộ công cụ khai thác DarkSword đánh dấu một bước tiến quan trọng trong an ninh mạng di động. Chiến dịch này cho thấy việc khai thác lỗ hổng iOS nâng cao không còn chỉ giới hạn trong các hoạt động tình báo nhắm mục tiêu cao. Thay vào đó, sự kết hợp giữa các chiến thuật do nhà nước tài trợ và các công cụ có sẵn cho công chúng đang định hình lại bối cảnh mối đe dọa, biến nó thành một bối cảnh mà ngay cả các cuộc tấn công phân tán rộng rãi cũng có thể tận dụng các khả năng ưu tú.

xu hướng

Vụ lừa đảo Mr Beast trên Discord

Lừa đảo, Thư rác
Để đảm bảo an toàn trực tuyến, cần luôn cảnh giác và có một mức độ hoài nghi nhất định. Tội phạm mạng ngày càng lợi dụng các xu hướng phổ biến và những nhân vật đáng tin cậy để lừa đảo người dùng, và các vụ lừa đảo liên quan đến những người có tầm ảnh hưởng nổi tiếng đang trở nên phổ biến hơn. Vụ lừa đảo Mr Beast trên Discord là một ví dụ rõ ràng về cách kẻ tấn công thao túng lòng tin và sự tò...

Xem nhiều nhất

Đang tải...