ロシアと関連するスパイ活動グループTA446は、大西洋評議会をテーマにした囮を悪用する新しいフィッシング波で、DarkSwordエクスプロイトキットを使用してiOSデバイスを侵害し始めました。
このキャンペーンは、リークされたiOSエクスプロイトチェーンが、高い価値がある政策および政府ターゲットに対していかに迅速に兵器化できるかを強調しています。
MAYBEROBOTのようなマルウェアを配信するパスワード保護されたZIP添付ファイルに依存していた以前のTA446操作とは異なり、このウェーブはURLベースの配信にシフトして、被害者をDarkSwordに誘導しています。
URLScanへの申請により、TA446が管理する1つのドメインが、初期リダイレクター、エクスプロイトローダー、リモートコード実行(RCE)ステージ、およびポインター認証コード(PAC)バイパスコンポーネントを含むDarkSwordエクスプロイトキットをアクティブに提供していることが確認されました。
3月26日、Proofpointは、大西洋評議会イベントへの招待状を詐称し、政府、シンクタンク、高等教育、金融、および法律団体をターゲットにしたTA446に属するスピアフィッシングメールの急増を観察しました。
サンドボックス分析は代わりに良性の大西洋評議会PDFを受け取り、脅威アクターがサーバー側のフィルタリングを適用したことを示唆しており、実際のiPhoneブラウザーのみがエクスプロイトチェーンに露出していました。
DarkSwordエクスプロイトキット
研究者は、第2段階と侵害されたリダイレクタードメインを通じて、DarkSwordアクティビティをTA446インフラストラクチャにリンクしました。
マルウェアサンプルとスキャンで参照される主要なエクスプロイトホスティングドメインはescofiringbijou[.]comで、TA446が管理し、以前のフィッシング操作に関連しています。
関連する侵害された第1段階のリダイレクターには、motorbeylimited[.]comとbridetvstreaming[.]orgが含まれており、これらは最終的なホスティングを隠蔽しながら被害者をエクスプロイトキットに向けてバウンスするために使用されました。
これまでのところ、3月26日の大西洋評議会詐称活動のみがDarkSwordに関連付けられており、以前のTA446キャンペーンはエクスプロイトを使用したりAppleデバイスをターゲットにした証拠を示していませんでした。
Proofpointは、グループが主に認証情報盗難と情報収集のためにDarkSwordを採用し、政策および市民社会ターゲットの伝統的な焦点を変更することなく、iOSユーザーへのリーチを拡大していると評価しています。
DarkSwordは、最近リークされたiOSエクスプロイトチェーンであり、特定のiOS 18.xバージョンを実行しているデバイスのワンクリック侵害が可能で、Safari悪用、RCE、PACバイパス、サンドボックスエスケープ、メモリ内インプラントを組み合わせています。
TA446のケースでは、研究者はリダイレクター、ローダー、RCE、およびPACバイパスステージの配信を確認しましたが、サンドボックスエスケープコンポーネントの配信はまだ観察されていません。
セキュリティアナリストは、GitHubのDarkSwordリークと、その後のTA446による兵器化が、他のアクターが高度なiOSスパイ活動キャンペーンを開始するための障壁を低下させることを警告しています。
Appleは、セキュリティアップデートをプッシュし、デバイス上の通知を発行することで対応し、古いiOSバージョンのユーザーに、Webベースの DarkSword攻撃をブロックするためにすぐにパッチを適用するよう促しています。
iOSユーザー向けの軽減策
Appleが最近のリリースでDarkSwordによって悪用される脆弱性にパッチを当てているため、ディフェンダーは最新のiOSおよびiPadOSセキュリティアップデートを迅速に展開することを優先すべきです。
政府、学術機関、NGO、メディアのハイリスクユーザーは、組み込みリンク付きの未承諾の「イベント」または「ラウンドテーブル」招待を疑わしいものとして扱い、クリックする前に信頼できるチャネルを通じて招待を確認する必要があります。
最後に、Safariエクスプロイトチェーンに焦点を当てたモバイル脅威検出および管理対象脅威ハンティング、および異常なiOSネットワークアクティビティは、より多くのアクターがDarkSwordスタイルのツールチェーンを試験するにつれて重要になるでしょう。
メールゲートウェイとWebプロキシは、escofiringbijou[.]com、motorbeylimited[.]com、bridetvstreaming[.]orgを含む既知のTA446インフラストラクチャをブロックし、HTTPS検査を強制してエクスプロイトキットトラフィックパターンを検出することで役立つことができます。
翻訳元: https://gbhackers.com/darksword-exploit-kit/
