TokyoBlackHatNews

cyberpress.org 4分で読了

新しいiOSエクスプロイトが高度なiPhoneハッキングツールを使用してユーザーデータを盗む

グーグル脅威インテリジェンスグループ(GTIG)は、2025年11月からAppleユーザーを積極的に標的にしている「DarkSword」と呼ばれる非常に洗練されたフルチェーンiOSエクスプロイトを発見しました。

このエクスプロイトチェーンは複数のゼロデイ脆弱性を活用して、iOS 18.4から18.7を実行しているデバイスを完全に侵害し、最近数年間で観察された最も高度なモバイル攻撃キャンペーンの1つとなっています。

DarkSwordが特に注目に値する理由は、エクスプロイトチェーン全体を通じてJavaScriptに完全に依存していることです。

コンパイルされたバイナリに依存する従来のエクスプロイトとは異なり、このアプローチにより攻撃者はウェブコンテキスト内で完全に悪意のあるロジックを実行でき、検出を大幅に低減し柔軟性を向上させることができます。

確認されたターゲットはサウジアラビア、トルコ、マレーシア、ウクライナなどの地域に及び、特定の地政学的目標に合わせたキャンペーンが展開されています。

DarkSwordは少なくとも3つの異なる脅威クラスターに採用され、それぞれが配信メカニズムとペイロード動作を変更しています。

UNC6748として追跡される最初のグループは、「snapshare[.]chat」という詐欺的なSnapchatテーマのフィッシングドメインを使用して、サウジアラビアの被害者を標的にしました。

攻撃チェーンは、以前に侵害されたデバイスの再感染を回避するため、JavaScriptの難読化とセッションストレージの検証を組み込んでいました。

悪意のあるページにアクセスすると、目に見えないiframeがリモートコード実行をトリガーし、GHOSTKNIFEとして知られるJavaScriptベースのスパイウェアをデプロイしました。

2番目のキャンペーンはトルコの商用監視ベンダーであるPARS Defenseに起因しています。このグループはトルコとマレーシアのユーザーを標的にし、強力なペイロード暗号化と高度なデバイスフィンガープリンティングなどの強化された運用セキュリティ対策を採用しました。

彼らのペイロードであるGHOSTSABERは、HTTP(S)ベースのコマンドアンドコントロール通信が可能な強力なバックドアとして機能し、デバイス列挙、ファイル流出、SQLクエリ実行、および動的スクリプト実行を可能にします。

一方、ロシアとの関連が疑われるグループUNC6353は、ウクライナのウェブサイトを対象とした水飲み場キャンペーンにDarkSwordを統合しました。

正規のサイトに悪意のあるスクリプトを注入することで、攻撃者はGHOSTBLADEデータマイナーを配信しました。興味深いことに、このグループは新しいエクスプロイトモジュールが利用可能であるにもかかわらず、エクスプロイトをiOS 18.4から18.6に限定しました。

エクスプロイト後、DarkSwordは大規模なデータ流出用に設計された3つの専門化されたペイロードの1つをデプロイします。

GHOSTKNIFEはメッセージ、ブラウザデータ、位置情報履歴の抽出に焦点を当てており、オーディオ録音とファイル取得も可能にしています。法医学的な検出を回避するため、クラッシュログを積極的に削除します。

これに対してGHOSTSABERは、永続的なアクセスと広範な監視機能を提供し、長期的なインテリジェンス収集作戦に適しています。

GHOSTBLADEは一括データ収集を優先し、iMessage、WhatsApp、Telegramなどのメッセージングプラットフォーム、および暗号資産ウォレットと隠しメディアファイルを対象とします。

永続的なコントロール機能がないにもかかわらず、そのデータ収集範囲は重大なプライバシー脅威をもたらします。

DarkSwordエクスプロイトチェーンは、6つの脆弱性を組み合わせてデバイス全体を侵害します。JavaScriptCoreメモリ破損フロー(CVE-2025-31277およびCVE-2025-43529)によるWebKit内のリモートコード実行から始まります。

攻撃者はその後、dyld脆弱性(CVE-2026-20700)を介してポインター認証をバイパスし、ANGLEメモリ破損バグ(CVE-2025-14174)を使用してサンドボックスエスケープを実行します。

最終段階は2つのiOSカーネル脆弱性CVE-2025-43510およびCVE-2025-43520)を通じた権限昇格を含み、攻撃者にデバイスの完全なコントロールを与えます。

Appleはすべての特定された脆弱性にiOS 26.3で対処しました。セキュリティ専門家は、リスクを軽減するためユーザーに直ちにアップデートすることを強く勧めています。

さらに、高リスク個人は、JavaScriptの実行やそのようなエクスプロイトチェーンで一般的に悪用される他のウェブ機能を制限するAppleのロックダウンモードを有効にすることが推奨されています。

DarkSwordの発見は、ウェブとデバイスレベルの攻撃の境界線を曖昧にするより静かなブラウザベースのモバイルエクスプロイト技術に向かう成長傾向を浮き彫りにしています。

翻訳元: https://cyberpress.org/new-ios-exploit-uses-advanced-iphone-hacking/

ソース: cyberpress.org
#APT攻撃 #iOS脆弱性 #iPhoneハッキング #カーネル脆弱性 #サイバースパイ #スパイウェア #ゼロデイ脆弱性 #データ盗難 #モバイルエクスプロイト #リモートコード実行

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に