おそらくロシア関連の脅威アクターが、ウクライナのユーザーを標的にして機密データを盗むために高度なiPhoneハッキングツールを導入したことが、水曜日に発表された研究によると明らかになりました。
DarkSwordと名付けられたマルウェアにより、攻撃者はほとんどユーザーのインタラクションなしでiPhoneに侵入し、数分以内に機密データを抽出してから、侵入の痕跡を消すことができるとセキュリティ企業Lookoutの研究者が述べています。
彼らはこのアクティビティをUNC6353として追跡されている脅威アクターに帰属させています。グループのインフラストラクチャーや広範な関係についてはほとんど知られていませんが、以前はCorunaエクスプロイトチェーンを使ってウクライナの被害者を標的にしています。
DarkSwordキャンペーンは少なくとも2025年後半から活動しており、3月を通じて続いており、主にいわゆる「水飲み場」攻撃において侵害されたウクライナのウェブサイトへのアクセスを標的にしており、ハッカーは意図された被害者が頻繁に訪れるサイトに感染させます。
影響を受けたサイトには、戦争をカバーする地域のニュースアウトレットと地元の裁判所のウェブサイトが含まれていました。研究者はまた2月にウクライナの食品加工会社での可能な感染を特定しました。
被害者が感染したページにアクセスすると、攻撃が自動的にトリガーされ、ハッカーはデバイスへの深いアクセスを獲得し、メール、メッセージ、写真、認証情報、および暗号通貨ウォレットからのデータを取得することができます。
長期的な監視のために設計された従来のスパイウェアキャンペーンとは異なり、DarkSwordは「ヒット・アンド・ラン」モデルで動作しているようです。Lookoutによると、デバイスから削除される前に、数分以内にデータを迅速に収集・流出させます。
「このマルウェアは非常に高度で、専門的に設計されたプラットフォームのようです」と研究者は述べており、モジュラー開発と長期的な使用をサポートするために構築されたことを指摘しています。
最新のUNC6353キャンペーンはスパイ活動と金銭的動機を組み合わせており、Coinbase、Binance、Krakenなどの幅広い暗号通貨プラットフォーム、およびMetaMaskやLedgerなどの人気のあるウォレットを標的にしています。
マルウェアの能力を考えると、研究者はハッカーが政府クライアントまたは商用監視ベンダーに通常関連付けられている高級なエクスプロイトツールにアクセスしている可能性があると述べています。
「DarkSwordと以前のCorunaの発見は、高度なエクスプロイトの二次市場を示唆しています」とLookoutは述べており、リソースが少ない行為者が高度な能力を取得・展開することを可能にしています。
高度なツーリングにもかかわらず、攻撃者自身は非常に高度ではない可能性があります。アナリストは操作の一部を隠すための限定的な努力を指摘し、グループは購入したエクスプロイトや人工知能さえも使用して追加のマルウェアコンポーネントを開発する可能性があることを示唆しました。
水曜日のGoogleのレポートによると、DarkSwordは様々な脅威アクターによってサウジアラビア、トルコ、マレーシアのユーザーを標的にするために配置されました。
Appleは2025年後半にこれらの脆弱性が公開された後、これらの攻撃で悪用された脆弱性にパッチを当てたと研究者は述べています。
翻訳元: https://therecord.media/russia-linked-hackers-use-iphone-exploit-ukraine
