研究者らは、米国政府を代行して開発されたと考えられるiOSエクスプロイトを転用している疑いのあるロシア人ハッカーの2番目の事例を発見しており、彼らが述べるところによると、いくつかの不吉なトレンドを指摘しています。
iVerify、Lookout、およびGoogleが水曜日に公開した研究に協力しており、以前の同様のエクスプロイトキットCoronaに関する啓示の続編となっています。2番目のキット(DarkSwordというニックネーム)もウクライナのユーザーを標的としていますが、規模は重大です。iVerifyは最大2億7000万人のiPhoneユーザーが影響を受ける可能性があると推定しており、LookoutはCyberScoopに現在使用中のiOSデバイスの約15%がiOS 18以前のバージョンを実行しており、このエクスプロイトキットに対して脆弱であると述べています。
この研究は、さまざまな新しい詳細と興味深いパターンを明らかにしています。
- ロシアと中国のハッカーがCorunaを金銭的利益を念頭に使用していた一方で、DarkSwordが金銭的および監視の両目的に役立つ可能性があること、および/または害をもたらすために使用される可能性があることを示す兆候があります。
- Lookoutは、誰かが大規模言語モデルを使用してCorunaとDarkSwordの両方をカスタマイズしたことを確認しました。
- DarkSwordの発見は、二次的なエクスプロイト市場に関する以前の懸念を強化していると、LookoutとiVerifyは述べています。
- DarkSwordは今月発見された2番目の「大規模」iOSキャンペーンであり、最初のものはCorunaです。
- 両方のキットは、インターネットトラフィックのより大きな部分を占めるため、サイバー攻撃がモバイルフォンに向かって移行していることを示唆していると、iVerifyの共同創設者兼最高執行責任者のRocky ColeがCyberScoopに述べました。
DarkSwordは保存されたパスワード、暗号ウォレット、テキストメッセージなどを流出させることができると、研究者らが発見しました。Lookoutのモバイル脅威インテリジェンス担当グローバルディレクターであるJustin Albrechtによると、攻撃者は最初にAppleのWebKitを侵害してから、WebGPUをサンドボックスエスケープのピボットポイントとして使用することで、このエクスプロイトキットを活用しています。
不明確なのは、ロシアへのリンク以外に、正確には誰がこのエクスプロイトキットの背後にいるのかということです。Coleは、DarkSwordはCorunaと同じコマンドアンドコントロールインフラストラクチャでホストされていますが、完全に別の人々によって作られた完全に独立したキットであると述べています。Googleはこのキャンペーンをロシア支援のスパイ活動グループであるUNC6353として追跡するグループに帰属させています。
攻撃者の動機もやや不透明で、スパイ活動と金銭的目標の両方が混在しているようです。Albrechtは、これに先例があることを指摘しました。ロシアの脅威グループは以前、ウクライナで暗号資産を標的にしており、特にSandwormによって配備されたAndroidエクスプロイトキットInfamous Chiselがあります。
「彼らはおそらく十分な資金を持っており、おそらくよくつながっていますが、暗号を盗んでいることは確認されています。明らかに金銭的な動機があります」とAlbrechtはCyberScoopに述べています。「今、大きな問題は、グループが誰かに応じて、この金銭的動機がウクライナ人に損害を与えるためだけなのか、それとも暗号を盗むためなのかということです。」
ロシアは長い間厳しい制裁を受けており、ウクライナでの継続的な戦争により予算問題が生じ始めていると彼は述べています。「盗まれた資金で彼らの活動に資金を供給することを始めないのはなぜでしょうか。一般的にはロシアのAPTのTTPの潜在的なシフトですが、規範外ではありません」とAlbrechtは述べています。
このキットは「生活パターン」分析を試みようとしている者にとって便利であると、Coleは述べており、したがって監視およびインテリジェンスの目的に役立ちます。
彼は、商用スパイウェア販売者が対象者なしでこのキットを作成した可能性があり、したがってそれの「スイスアーミーナイフ」のような性質があると述べています。Coleの主な懸念は、これらの種類のツールの市場が明らかに成長しており、人々はiPhoneが脆弱でないことについて誤った安心感を持つようになる可能性があるということです。
エクスプロイト自体の高度な特性にもかかわらず、DarkSwordの背後にある脅威行為者は特に経験がない可能性があると、Albrechtは述べています。JavaScriptまたはHTMLコードは何らかの方法で難読化されておらず、サーバー側コンポーネントは「Dark sword file receiver」というラベルが付けられていました。これは経験豊富なロシアの脅威行為者としては不十分な運用セキュリティです。
「あなたの経験豊富なロシアの脅威行為者、世界のAPT29のようなグループは、より優れたOPSECを持つことを期待するでしょう」とAlbrechtは述べています。
研究における、より珍しい調査結果の1つは、大規模言語モデルで生成されたコードが明らかに存在することです。例えば、DarkSwordのサーバー側コンポーネントには、AI生成コードの特徴的な兆候が含まれており、LLM出力に特有の詳細なメモとコメントが完全に備わっています。これは、国家が支援する行為者の間でさえ、高度なモバイルエクスプロイトを配備するための進入障壁を効果的に低下させる発展であるとAlbrechtは述べています。
Albrechtによると、3つの研究チームすべてがAppleと調査結果について連絡を取っており、Googleは2025年後期に脅威の調査を開始して以来、最も密接に連絡を取っている可能性があります。Googleは公開前にCyberScoopに研究を利用可能にしませんでした。
