TokyoBlackHatNews

gbhackers.com 4分で読了

新しいiOSエクスプロイトが高度なiPhoneハッキングツールを使用して個人データを盗む

Google脅威インテリジェンスグループ(GTIG)は、DarkSwordと名付けられた非常に高度なiOSフルチェーンエクスプロイトを発見しました。

2025年11月から活動中のこのエクスプロイトは、複数のゼロデイ脆弱性を活用して、iOS 18.4~18.7を実行するAppleデバイスを完全に侵害します。

DarkSwordが非常に異例である理由は、そのエクスプロイトチェーン全体でJavaScriptにのみ依存しているため、コンパイル済みバイナリの必要性を排除していることです。

Googleのセキュリティ研究者は、国家が支援するスパイ活動グループと商用監視ベンダーを含む複数の脅威アクターがこのエクスプロイトチェーンを使用して、サウジアラビア、トルコ、マレーシア、ウクライナの著名な被害者をターゲットにしていることを確認しています。

脅威アクターの属性と攻撃方法論

DarkSwordは少なくとも3つの異なる脅威アクターに採用されており、各グループが独自の操作ニーズに合わせてデプロイメントメカニズムをカスタマイズしています。

最初のクラスタであるUNC6748は、詐欺的なSnapchatテーマのウェブサイトを使用してサウジアラビアのユーザーをターゲットにしました。

Image

攻撃者はJavaScript難読化とセッションストレージチェックを使用して、以前の被害者の再感染を防止しました。

ターゲットがランディングページにアクセスすると、エクスプロイトは目に見えないフレーム経由でリモートコード実行モジュールを読み込み、GHOSTKNIFEマルウェアをデプロイしました。

2番目のキャンペーンはトルコの商用監視ベンダーであるPARS Defenseによってオーケストレーションされました。

彼らはエクスプロイトローダーの強化版を使用してトルコとマレーシアのユーザーをターゲットにしました。

このグループは、エクスプロイトペイロードの強力な暗号化と高度なデバイスフィンガープリントを含む、より厳密な運用セキュリティを適用して、GHOSTSABERバックドアをデプロイしました。

最後に、疑われるロシアのスパイ活動グループUNC6353は、ウクライナのウェブサイトをターゲットとする水飲み場キャンペーンにDarkSwordを統合しました。

Image

彼らは侵害されたサイトに悪意のあるスクリプトを挿入して、GHOSTBLADEデータマイナーをデリバリーしました。

興味深いことに、UNC6353はiOS 18.7エクスプロイトが利用可能であるにもかかわらず、iOS 18.4~18.6のエクスプロイトモジュールのみを使用しました。

エクスプロイトが成功すると、攻撃者は広範なデータ窃盗のために設計された3つの異なるJavaScriptベースのペイロードの1つをデプロイしました。

UNC6748によって使用されるGHOSTKNIFEマルウェアは、メッセージ、位置情報の履歴、ブラウザデータを流出させます。

また、オーディオ録音とファイルダウンロードもサポートしており、デバイス上での存在を隠すためにクラッシュログを積極的に削除します。

PARS DefenseはGHOSTSABERをデプロイしました。これは、HTTP(S)経由で通信する非常に高い機能を持つバックドアです。

詳細なデバイス列挙、ファイル流出、任意のSQLクエリ実行、動的JavaScriptの実行を実行して、多目的なスパイ活動ツールにしています。

UNC6353によって使用されるGHOSTBLADEデータマイナーは、iMessage、Telegram、WhatsApp、暗号資産ウォレット、隠しフォトから個人データの抽出に大きく焦点を当てています。

継続的なバックドア機能がありませんが、その広範なデータ収集機能は、感染したターゲットに重大なプライバシーリスクをもたらします。

DarkSwordは6つの特定の脆弱性をチェーンして、完全なデバイスの侵害を達成します。エクスプロイトシーケンスは、JavaScriptCore(CVE-2025-31277とゼロデイCVE-2025-43529)のメモリ破損脆弱性を使用したWebKitでのリモートコード実行から始まります。

これらはdyld(CVE-2026-20700)のユーザーモードPACバイパスと組み合わされます。攻撃者はその後、ANGLE メモリ破損欠陥(CVE-2025-14174)を使用してGPUおよびメディアプロセスへの複数のサンドボックスエスケープを実行します。

最後に、iOSカーネルメモリ脆弱性CVE-2025-43510およびCVE-2025-43520)を悪用することでカーネル権限を取得しています。

Image

AppleはiOS 26.3の公開により、DarkSwordチェーンによって悪用されたすべての脆弱性に正常にパッチを当てました。

セキュリティエキスパートは、ユーザーがデバイスを最新ファームウェアにすぐに更新することを強く推奨しています。

ターゲットされたサイバー攻撃の高リスク下にある個人には、Appleのロックダウンモードを有効にすることが強く推奨されています。

ロックダウンモードは、JavaScriptコンパイルおよび特定のウェブテクノロジーなどの脆弱な機能を制限し、DarkSwordエクスプロイトチェーンによって使用されるリモートコード実行技術を効果的に中和します。

翻訳元: https://gbhackers.com/new-ios-exploit-uses-advanced-iphone-hacking-tools/

ソース: gbhackers.com
#Apple #iOS #エクスプロイト #サイバー攻撃 #スパイウェア #ゼロデイ #データ窃盗 #バックドア #マルウェア #脅威インテリジェンス

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚