iPhone ユーザーを狙い、その機密データを盗むための新しいエクスプロイトキットが、「複数の」スパイウェアベンダーと疑われている国家機関によって悪用されていると、セキュリティ研究者が水曜日に述べました。
DarkSword と呼ばれるエクスプロイトキットは、少なくとも 2025 年 11 月から使用されています。iOS バージョン 18.4~18.7 に対応し、6 つの異なる脆弱性を悪用して 3 つの異なるバックドアをデプロイし、メッセージ、録音、位置情報履歴、ログイン済みアカウント、暗号資産ウォレットデータなど、膨大な個人情報を盗みます。
水曜日に公開された協調研究で、Google、iVerify、および Lookout がマルウェアを分析し、今月 2 番目となる、異なる犯罪グループが単一の iOS エクスプロイトキットを使用して iPhone ユーザーをスパイしている事例を発見したことを指摘しました。前のエクスプロイトフレームワークは Coruna と呼ばれており、Coruna を悪用している以前のグループの 1 つ(疑われているロシア諜報機関 UNC6353)も DarkSword をウクライナ人を狙った水飲み場キャンペーンで使用しています。
DarkSword エクスプロイトキットは 6 つの脆弱性を悪用しています:CVE-2025-31277、CVE-2025-43529、CVE-2026-20700、CVE-2025-14174、CVE-2025-43510、および CVE-2025-43520。これら 6 つすべてはその後パッチが適用されているため、必ず最新の iOS リリースに更新してください。
Apple は The Register のコメント要求に応答しませんでした。
エクスプロイトチェーンの仕組み
この攻撃では、iPhone ユーザーが悪意のあるウェブサイトにアクセスしてエクスプロイトチェーンをトリガーする必要があります。これは CVE-2025-31277 または CVE-2025-43529 のいずれかを悪用してリモートコード実行を実現することから始まります(iOS バージョンによって異なります)(iVerify の分析による)。
これら両方のバグにより、攻撃者は任意のメモリ読み取り・書き込みプリミティブを取得でき、これを行うと、CVE-2026-20700 を悪用することで Trusted Path Read-Only(TPRO)および Pointer Authentication Codes(PAC)の軽減策をバイパスします。
「これにより、スレッド状態の操作を介して SPRR および JIT Cage の軽減策を完全に回避し、WebContent プロセス内で任意のコード実行を達成できます」と、iVerify の Matthias Frielingsdorf と Mateusz Krzywicki は述べました。
その後、攻撃者は GPU プロセスを経由してサンドボックスをエスケープするため、Angle アウトオブバウンズライト脆弱性(CVE-2025-14174)を悪用し、同じ PAC バイパス方法と組み合わせて、GPU プロセス内で任意のメモリ読み取り・書き込みおよび任意の関数呼び出しプリミティブを取得します。
ここから、攻撃者は AppleM2ScalerCSCDriver ドライバーのセレクター 1 を使用して XNU カーネルをターゲットにします。これにより、Copy-On-Write 脆弱性(CVE-2025-43510)がトリガーされます。「この欠陥は、公開されている XPC インターフェースを介して mediaplaybackd デーモン内で任意のメモリ読み取り・書き込みおよび任意の関数呼び出しプリミティブを確立するために活用されます」と、研究者は述べました。
最後に、攻撃者は CVE-2025-43520 を悪用してカーネルの特権をエスケレートし、他のシステムプロセスにメモリ内 JavaScript イムプラントを注入して Apple デバイスから機密データを抽出します。
DarkSword を使用して iPhone ユーザーをスパイしているのは誰ですか?
Google の研究では、この攻撃チェーンを悪用している 3 つの異なるグループについて詳述していますが、「他の商用監視ベンダーまたは脅威アクターが DarkSword を使用している可能性も高い」と述べています。
UNC6748 として追跡される脅威クラスターは、Snapchat テーマのウェブサイト snapshare[.]chat を使用して、2025 年 11 月全体を通じて「複数回」サウジアラビアのユーザーをターゲットにするために DarkSword を使用していると、脅威インテリジェンスチームは述べました。
これらの攻撃は最終的に GhostKnife をデプロイしました。これは、ログイン済みアカウント、メッセージ、ブラウザデータ、位置情報履歴、録音など、さまざまな種類のデータを盗むモジュールを備えた JavaScript ベースのバックドアです。
データの盗難に加えて、コマンド・アンド・コントロールサーバーからファイルをダウンロードし、被害者のデバイスのスクリーンショットを撮ってデバイスのマイクから音声を録音します。
2025 年 11 月後半の別の DarkSword キャンペーンで、Google の脅威インテリジェンスグループは、トルコの商用監視ベンダー PARS Defense がトルコの iOS ユーザーに対してこのエクスプロイトを使用しているのを発見しました。その後、1 月に、異なる PARS Defense 顧客がマレーシアの被害者をターゲットにしているのを観察しました。
これらのインスタンスは、デバイスおよびアカウント列挙、ファイルリスティング、データ流出、リモート JavaScript コード実行を含む機能を備えた GhostSaber と呼ばれる異なる JavaScript バックドアを使用していました。
「観察された GHOSTSABER サンプルには、マイクから音声を録音してデバイスの現在の地理情報を C2 サーバーに送信することを主張する音声を含む、実行に必要なコードを欠いているいくつかのコマンドへの参照が含まれています」と、Google の研究者は述べました。
さらに、Google は UNC6353 が DarkSword を新しい水飲み場キャンペーンで使用してウクライナのユーザーをターゲットにし、GhostBlade というバックドアをデプロイしているのを追跡しました。この JavaScript データマイナーはテキスト、メッセージングアプリからのチャット、連絡先、通話ログ、デバイスおよびアカウント識別子とプロフィール、位置情報履歴、写真とそのメタデータ、暗号資産ウォレットデータ、ブラウザクッキーなど、多くのデータを収集し、その後、HTTPS 経由で攻撃者が管理するサーバーに送信します。
「GHOSTKNIFE と GHOSTSABER とは異なり、GHOSTBLADE は機能が低く、追加のモジュールやバックドアのような機能に対応していません。また、継続的に動作しません」と、Google は述べています。
Lookout が指摘するように、DarkSword と前のエクスプロイトキット Coruna の両方が機密データと暗号資産を盗み、「両方のツールがスパイ活動と金銭的盗難の両方に使用できる」ことを示しており、これにより UNC6353 は「資金が豊富で、よくつながっているが、技術的にはあまり洗練されていない脅威アクターであり、その目標には金銭的利益とロシア情報機関の要件に沿ったスパイ活動が含まれる」と評価するようになります。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/18/darksword_exploit_kit_steals_iphone/
