吳明宜上週安全研究人員發現一個名為 DarkSword 的進階攻擊工具針對舊版 iPhone 用戶而來。本週又有人將新版 DarkSword 公布在 GitHub 上。研究人員警告,該工具可讓駭客對全球數百萬舊版蘋果 iOS 裝置包括 iPhone 及 iPad 輕鬆發動攻擊。
上週多家資安業者包括 Google 與 iVerify 針對 DarkSword 發出警告,Google 研究人員是在分析 Coruna 時發現到。 Coruna 原為美國國防外包商 L3Harris 開發的間諜軟體,後來落入駭客手中,將之部署在假冒加密貨幣平台,感染被騙 iPhone 用戶的手機,無須點擊或下載軟體。而在 DarkSword 攻擊中,駭客用的則是和 Coruna 相同的伺服器。
DarkSword 並不只是一個間諜軟體,而是利用 Safari 和 iOS 至少 6 個漏洞的攻擊鏈,且有不同組駭客,包括商用間諜軟體和國家級駭客已用以發動攻擊 iOS18.4 到 18.7 版裝置。蘋果也發出安全公告,呼籲用戶升級到最新版本。
DarkSword 利用的漏洞包含 CVE-2025-31277(8.8/10) 、 CVE-2025-43529(8.8/10) 、 CVE-2026-20700(7.8/10) 、 CVE-2025-14174(8.8/10) 、 CVE-2025-43510(7.8/10) 、 CVE-2025-43520(7.1/10) 。這可讓攻擊者遠端執行程式碼、突破 iOS 沙箱隔離或取得系統權限。攻擊者可能設立釣魚網站或在合法網站植入攻擊程式並誘使用戶點擊。用戶甚至無須點擊或下載檔案即可感染。
研究人員發現,濫用 DarkSword 的組織從俄羅斯 APT 擴大到已被商業間諜公司與網路犯罪組織 UNC6748 等用以植入木馬程式 GhostSaber 、 GhostKnife 及 Ghostblade 。受害者散布於烏克蘭、沙烏地阿拉伯、土耳其和馬來西亞等地。攻擊結果是讓攻擊者竊取個人資料、加密貨幣帳號或通訊帳號密碼、 iCloud 檔案或是監看位置、裝置活動及通訊內容,或是在用戶裝置上執行程式碼並接管、存取檔案及系統資源。 Ghostblade 攻擊程式更可自我刪除避免被數位鑑識查獲。
而本週 iVerify 研究人員發現的新版 DarkSword 基礎架構大致沒變,但上傳的檔案相當簡單,只是 HTML 和 JavaScript,意味著任何人都可以複製貼到一台伺服器上,幾分鐘到幾小時就能完成,即使無 iOS 開發經驗者也能輕易上手。
來源:Techradar 、 Axios 、 Techcrunch