针对iOS 18系统的深度威胁
近日,移动安全领域披露了一项名为“DarkSword”的复杂iOS漏洞利用套件。据移动安全公司Lookout、谷歌威胁情报小组(GTIG)以及iVerify的联合调查,该漏洞链主要针对运行iOS 18.4至18.7版本的iPhone设备。与此前披露的“Coruna”漏洞链类似,DarkSword被多个高级持续性威胁(APT)组织及商业监控供应商用于窃取受害者的个人隐私信息。
三大恶意软件家族与攻击手段
调查显示,自2025年11月以来,DarkSword已被用于部署三种主要的恶意软件家族:
1.GHOSTBLADE:一款基于JavaScript的数据采集器,能够窃取加密货币钱包数据、系统信息、浏览器历史记录、照片、地理位置以及iMessage、Telegram和WhatsApp等即时通讯工具的对话内容。
2.GHOSTKNIFE:一个功能强大的后门程序,专门用于外泄已登录账户信息、通话记录及设备录音。
3.GHOSTSABER:另一个JavaScript后门,具备设备枚举、文件列举及远程执行恶意代码的能力。
活跃的攻击组织与地域分布
GTIG的报告指出,DarkSword的攻击活动具有明显的跨国特征。首批被观察到的攻击者包括UNC6748,他们通过仿冒Snapchat网站对沙特阿拉伯用户实施攻击。此外,土耳其商业监控供应商PARS Defense也被发现利用该工具在土耳其和马来西亚开展行动。值得警惕的是,被怀疑具有俄罗斯背景的黑客组织UNC6353,自2025年12月起开始利用DarkSword针对乌克兰目标进行间谍活动。
技术演进与AI辅助开发的痕迹
Lookout的研究人员在分析DarkSword的代码库时发现了一个令人不安的趋势:该恶意软件的开发过程似乎得到了大语言模型(LLM)的辅助。代码中存在大量详细解释功能逻辑的注释,显示出攻击者极高的专业化程度。这种设计不仅提升了恶意软件的可维护性,还为其后续的模块化扩展奠定了基础。
防御建议与安全现状
DarkSword利用了包括CVE-2025-31277、CVE-2025-43529等在内的六项已知漏洞,涵盖了沙盒逃逸、权限提升及远程代码执行等多个关键环节。尽管攻击过程复杂,但iVerify指出,苹果公司已在最新的iOS版本中修复了这些漏洞。
网络安全专家提醒,尽管DarkSword利用了已知的系统漏洞,但其通过Safari浏览器发起的一键攻击(1-click attack)仍具有极强的隐蔽性。建议iPhone用户务必保持系统更新至最新版本,并对来源不明的网页链接保持高度警惕,以防止设备被植入内存驻留的恶意代码。
