“暗剑”iOS 漏洞利用工具包被国家支持的黑客及间谍软件供应商使用

高危漏洞

安全研究人员发现了另一个复杂的 iOS 漏洞利用工具包，并找到证据表明它已被国家支持的黑客和商业间谍软件供应商使用。

推测e

一个被追踪为 UNC6353 的俄罗斯国家支持的间谍组织，在针对乌克兰的攻击中使用了这个 iOS 漏洞利用工具包。

3 月初，谷歌和 iVerify 分享了关于 Coruna 的详细信息，这是一个功能强大的漏洞利用工具包，针对 iOS 13 至 17.2.1 版本中的 23 个漏洞，其中包括近十几个零日漏洞。

Coruna 被视为首个大规模针对 iOS 设备的漏洞利用工具包，UNC6353 在针对乌克兰的水坑攻击中使用了它，随后因其具备窃取加密货币的能力，也被出于经济利益的组织利用。

周三，iVerify、谷歌和 Lookout 分享了 UNC6353 使用的第二个大规模利用 iOS 漏洞的工具包的详细信息。该工具包名为 “暗剑”（DarkSword），它针对苹果移动平台的六个漏洞，只需极少的用户交互就能完全攻陷设备。

“暗剑” 与 Coruna 共享基础设施，且在针对乌克兰的水坑攻击中被使用，这表明它们同属一个威胁行为者的武器库。

1
用人工智能防御对抗人工智能攻击

谷歌还发现证据表明，“暗剑” 已被商业监视供应商使用，其中包括一个被追踪为 UNC6748 的组织，用于针对沙特阿拉伯、土耳其和马来西亚的攻击。

“暗剑” 完全用 JavaScript 编写，首先利用 Safari 漏洞实现远程代码执行（RCE），接着进行沙盒逃逸，然后利用内核漏洞注入并执行 JavaScript 代码以提升权限并最终执行有效载荷。

观察到的攻击是通过在独立新闻机构顿巴斯新闻（News of Donbas）的网站以及文尼察第七行政上诉法院的官方网站中注入恶意 iframe 来实施的。
2
完整的攻击链

被攻击的漏洞包括 CVE – 2025 – 31277、CVE – 2025 – 43529、CVE – 2025 – 14174、CVE – 2025 – 43510、CVE – 2025 – 43520 和 CVE – 2026 – 20700。

CVE – 2025 – 31277 和 CVE – 2025 – 43529 是两个 WebContent 进程的即时编译（JIT）问题，可导致任意内存读 / 写原语，“暗剑” 在攻击初始阶段利用了这些问题。

然后，它针对 CVE – 2026 – 20700，以绕过可信路径只读（TPRO）和指针认证码（PAC）保护并实现任意代码执行。该漏洞在 2 月作为零日漏洞被修复。

接下来，攻击链针对 CVE – 2025 – 14174，这是 ANGLE 中的一个越界写入漏洞，结合 PAC 绕过，通过 GPU 进程逃离 Safari 的沙盒。CVE – 2025 – 43529 和 CVE – 2025 – 14174 在 12 月被修复。

从 GPU 进程开始，攻击利用 CVE – 2025 – 43510 针对 XNU 内核，这是一个写时复制漏洞，可在 mediaplaybackd 守护进程中提供任意内存读 / 写原语，然后利用这些原语利用 CVE – 2025 – 43520 实现内核权限提升。
3
强大的信息窃取能力

Lookout 解释说，最终的有效载荷是一个由众多模块组成的编排器，使攻击者能够从受感染设备中窃取敏感信息。

它的目标包括密码、照片、WhatsApp 和 Telegram 消息、短信、联系人、通话记录、浏览器数据（cookie、历史记录和密码）、已安装的应用程序、Wi – Fi 数据和密码、苹果健康数据、日历和便签、已连接账户的信息以及加密货币钱包。

Lookout 指出：“这种恶意软件非常复杂，似乎是一个专业设计的平台，通过访问高级编程语言能够快速开发模块。这一额外步骤表明，在开发这种恶意软件时投入了大量精力，考虑到了可维护性、长期开发和可扩展性。”

这家网络安全公司还指出，“暗剑” 针对加密货币的攻击能力表明，UNC6353 可能已将其能力扩展到金融盗窃领域，或者它从一开始就是一个出于经济利益的威胁行为者。UNC6353 使用的 Coruna 漏洞利用工具包并未针对加密货币钱包。

4
数百万部iPhone可能受影响

安全研究人员警告称，苹果已经为 Coruna 和 “暗剑” 所针对的所有漏洞推出了补丁，但仍有数亿台设备可能面临攻击。

iVerify 表示：“我们估计，‘暗剑’漏洞利用链仍然影响着相当一部分 iPhone 用户。具体来说，运行 iOS 18.4 至 18.6.2 版本的用户中有 14.2%（约 2.2152 亿台设备）被认为存在漏洞。”

这家网络安全公司指出，如果目标漏洞可用于攻击低于 18.4 版本和高于 26.x 版本的 iOS 系统，受影响设备的数量可能会高得多。

iVerify 解释说：“基于所有 iOS 18 版本都易受该攻击链中大多数漏洞影响的假设，大约 18.99% 的用户（2.96244 亿）可能会受到影响。”

建议用户更新到 iOS 26.3.1 和 18.7.6 版本，这是包含针对 “暗剑” 漏洞利用工具包中所有漏洞补丁的最新平台版本。

5
在沙特阿拉伯、土耳其和马来西亚的攻击

在过去五个月里，谷歌识别出在 “暗剑” 成功攻击中投放的三个有效载荷，即 GhostBlade、GhostKnife 和 GhostSaber。

这家互联网巨头表示，2025 年 11 月，UNC6748 利用 “暗剑”，通过一个以 Snapchat 为主题的网站，在水坑攻击中针对沙特阿拉伯用户。所使用的恶意软件 Ghostknife 是一个 JavaScript 后门，具备强大的信息窃取能力。

11 月下旬，商业监视供应商 PARS Defense 在针对土耳其用户的攻击中使用了 “暗剑”，并于 2025 年 1 月在针对马来西亚用户的攻击中再次使用。

这些攻击中的有效载荷是 GhostSaber，这是一个 JavaScript 后门，能够进行文件渗出、设备和账户枚举、数据窃取以及执行任意 JavaScript 代码。

UNC6353 自 2025 年 12 月开始使用 “暗剑” 针对乌克兰发动攻击，投放了 GhostBlade 恶意软件，该软件具备信息窃取功能但没有后门能力，这与 iVerify 和 Lookout 的发现一致。

谷歌解释说：“UNC6748、PARS Defense 和 UNC6353 在漏洞利用交付实现方面存在显著的异同。我们评估，每个行为者都在‘暗剑’开发者的一组基本逻辑基础上构建了自己的交付机制，并根据自身需求进行了调整。”

谷歌还指出，虽然 UNC6353 使用的 “暗剑” 漏洞利用工具包仅针对运行 iOS 18.4 – 18.6 版本的设备，但 UNC6748 和 PARS Defense 使用的变体也针对 iOS 18.7 版本。

Lookout 指出：“利用受感染合法网站的水坑攻击本质上是零点击攻击，因为目标受害者可能本来就经常访问恶意网站。即使需要引诱用户访问该网站，社会工程防御培训也无效，因为感染网址是合法的。”

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://www.securityweek.com/darksword-ios-exploit-kit-used-by-state-sponsored-hackers-spyware-vendors/

更多网络安全视频，请关注视频号“知道创宇404实验室”