脅威アクターTA446は、iOSデバイスを侵害するためにDarkSwordとして知られる高度なエクスプロイトキットを展開することで、サイバー諜報活動をエスカレートさせました。これにより、iOSデバイスが侵害されることになります。
これはグループの戦術における重大な転換を示しており、過去のデータは高度なエクスプロイトフレームワークへの以前の依存がないことを示しています。
最近のキャンペーンは、Appleモバイルオペレーティングシステム専用に調整されたマルチステージ攻撃を提供するために、対象を絞ったソーシャルエンジニアリングを活用しています。
DarkSwordフレームワークは、最新のiOSセキュリティメカニズムを回避するように設計された高い能力を備えたエクスプロイトキットです。
URLScan分析によると、攻撃シーケンスは初期リダイレクタで始まります。このコンポーネントはトラフィックフィルタリングメカニズムとして機能し、脆弱なiOSデバイスを使用している意図された対象のみが悪意あるペイロードを受け取り、セキュリティ研究者を排除することを確保します。有効なターゲットが確認されると、サーバーはエクスプロイトローダーを提供し、これはコア攻撃シーケンスを開始します。
DarkSwordキットの中核には、遠隔コード実行(RCE)機能があります。これにより、脅威アクターはリンクをクリックするだけで、物理的なアクセスやユーザーインタラクションを必要とせずに、被害者のデバイスで任意のコマンドを実行できます。
iOSのような厳重に保護されたプラットフォームでこれを達成するために、エクスプロイトチェーンはPACバイパスを組み込んでいます。
ポインター認証コード(PAC)はメモリ破損脆弱性が容易に悪用されるのを防ぐためにAppleによって導入されたハードウェア依存のセキュリティ機能です。PACを正常にバイパスすることで、TA446は高いレベルの技術的洗練さを実証しています。
DarkSwordの展開は、高度に対象を絞ったフィッシング餌と密接に関連しています。このエクスプロイトキットのTA446による唯一の確認された使用は、3月26日に観察されたキャンペーン中に発生しました。
この操作中に、ハッカーは著名な国際関係シンクタンクであるAtlantic Councilを積極的に詐称しました。攻撃者は信頼できるポリシー組織になりすまし、特定の被害者をDarkSword感染シーケンスをトリガーする悪意あるリンクをクリックさせることを目的としていました。
このキャンペーンはTA446にとって注目すべき進化を表しています。Atlantic Council餌を含む3月26日の活動の前は、この脅威グループがその活動でエクスプロイトを活用していたという兆候はありませんでした。
標準的な認証情報収集からDarkSwordのような高度なiOSエクスプロイトキットの使用への移行は、増加したリソースと、より高いレベルのモバイルエンドポイントを対象とする方向へのシフトを示唆しています。
翻訳元: https://cyberpress.org/ta446-targets-ios-devices/