DarkSword iOS漏洞利用工具包
情報顯示,一場精心策劃的網路攻擊活動與 TA446 有關,該組織以 Callisto、COLDRIVER 和 Star Blizzard 等化名而廣為人知。該組織與俄羅斯聯邦安全局關係密切。
該組織歷來專注於以竊取憑證為目標的網路釣魚攻擊。過去一年,其策略不斷演變,開始攻擊 WhatsApp 帳戶,並部署客製化惡意軟體,旨在從高價值用戶身上竊取敏感資訊。
目錄
利用 DarkSword 對付 iOS 設備
新近揭露的漏洞利用工具包 DarkSword 使得該威脅行為者能夠將攻擊範圍擴展到蘋果設備。這標誌著一個重大轉變,因為先前的攻擊活動並未將目標鎖定在 iCloud 帳號或 iOS 生態系統上。
該攻擊工具包用於透過精心設計的釣魚郵件傳播名為 GHOSTBLADE 的資料竊取程式。這些郵件偽裝成大西洋理事會的邀請函,並於 2026 年 3 月 26 日透過被盜用的電子郵件帳號分發。攻擊目標之一是列昂尼德·沃爾科夫,這凸顯了這次攻擊活動的政治性。
一個值得注意的技術特點是選擇性目標:非 iPhone 用戶會被重定向到無害的誘餌 PDF 文件,這表明伺服器端過濾旨在將漏洞利用程式專門提供給相容的 Apple 裝置。
基礎設施和惡意軟體傳播技術
分析證實,此次攻擊活動利用了由攻擊者控制的基礎設施支援的多階段感染鏈。證據包括 DarkSword 載入器中指向攻擊生命週期中使用的輔助網域的引用。
觀察到的關鍵技術要素包括:
- 交付 DarkSword 漏洞利用工具包元件,包括重定向器、漏洞利用載入器、遠端程式碼執行機制和指標認證碼 (PAC) 繞過功能
- 缺乏沙箱逃生技術,顯示存在部分但仍高度危險的漏洞部署。
- 透過密碼保護的 ZIP 壓縮包分發 MAYBEROBOT 後門程序
擴大目標範圍預示著策略轉變
攻擊目標的範圍已顯著超出傳統情報目標。受害者現在包括多個行業的組織:
- 政府機構
這種更廣泛的目標鎖定模式表明其採取了機會主義策略,很可能是受到新近獲得的DarkSword工具包功能的驅動。這項行動似乎將間諜活動與可擴展的憑證竊取行動結合。
風險升級:漏洞利用工具包外洩與民主化
DarkSword 在 GitHub 上的公開洩漏使情況更加複雜。這次洩漏引入了即插即用的漏洞利用工具包,降低了技術水平較低的攻擊者的入侵門檻。
影響非常重大:
- 網路犯罪集團可能能夠獲得先進的國家級能力。
- 移動威脅活動的數量和多樣性都可能增加。
- 人們對iOS設備固有安全性的認知顯著降低。
反應訊號嚴重性
為了應對日益增長的威脅,蘋果採取了不同尋常的措施,向運行舊版 iOS 和 iPadOS 的用戶發出鎖定螢幕警報。這些通知會警告用戶目前正面臨網路為基礎的攻擊嘗試,並強烈建議用戶立即更新系統。
這項積極主動的措施表明,威脅不僅限於孤立的、備受矚目的目標,而是被認為足夠廣泛,需要使用者直接幹預。
結論:移動威脅情勢的轉折點
DarkSword漏洞利用工具包的出現和濫用標誌著行動網路安全領域的重大變革。這次攻擊活動表明,高級iOS漏洞利用不再局限於高度定向的情報行動。相反,國家支持的策略與公開可用工具的融合正在重塑威脅格局,使得即使是廣泛分佈的攻擊也能利用精英級技術。
