新的iOS漏洞利用先进的iPhone黑客工具攻击用户

请点击上方蓝色的【#公众号信安社群#】微信公众号一键关注！

一款名为 DarkSword 的复杂全链 iOS 漏洞利用工具包，自 2025 年 11 月起被多家商业监控厂商和国家支持的威胁行为者积极部署，旨在窃取四个国家 iPhone 用户的敏感个人数据。

DarkSword 是一个全链式 iOS 漏洞，串联了六个不同的漏洞，其中四个被用作零日漏洞，目的是对运行 iOS 18.4 至 18.7 版本的 iPhone 实现了全面设备攻破。

该漏洞链完全在 JavaScript 中运行，允许攻击者绕过苹果的页面保护层（PPL）和安全页面表监视器（SPTM）缓解措施，这些措施本可阻止未签名的本地二进制代码执行。

GTIG、iVerify 和 Lookout 基于回收载荷中嵌入的工具痕迹分析了该漏洞链的名称，并确认该链在针对沙特阿拉伯、土耳其、马来西亚和乌克兰的针对受害者的定向行动中使用。

这条六个漏洞链始于针对苹果 JavaScriptCore 的远程代码执行（RCE）漏洞利用，JavaScriptCore 是苹果在 Safari 和 WebKit 中使用的 JavaScript 引擎，随后经过两个沙盒逃逸阶段、本地权限升级，以及最终赋予攻击者完整内核级权限的有效载荷部署。

CVE-2026-20700，苹果 dyld 动态链接中的指针认证码（PAC）绕过程序，直接与两个 RCE 漏洞串联，并在 GTIG 向苹果报告后，仅在 iOS 26.3 上进行了修补。

GTIG 识别出三个不同的攻击后恶意软件家族，分别针对特定威胁行为者需求定制。

GHOSTKNIFE，由威胁集群通过一个以 Snapchat 为主题的钓鱼网站（snapshare[.]）UNC6748 部署的。聊天），是一个 JavaScript 后门，能够从设备的麦克风中窃取登录账户、消息、浏览器数据、位置历史和音频录音。

它通过自定义二进制协议与命令控制（C2）服务器通信，该协议由 ECDH 和 AES 加密，并主动删除设备中的崩溃日志以规避取证检测。

GHOSTSABER 由土耳其商业监控供应商 PARS Defense 部署，针对土耳其和马来西亚的活动中，支持超过 15 种不同的 C2 命令，包括设备枚举、文件泄露、任意 SQLite 查询执行和照片缩略图上传。

包括音频录制和实时定位在内的若干 GHOSTSABER 命令尚未完全在 JavaScript 植入体中实现，这表明后续的二进制模块是在运行时从 C2 服务器下载的。

GHOSTBLADE 被怀疑为俄罗斯间谍 UNC6353，作为一个全面的数据挖掘工具，窃取 iMessage、Telegram 和 WhatsApp 数据、加密货币钱包数据、Safari 历史和 Cookie、健康数据库、设备钥匙扣、位置历史以及保存的 Wi-Fi 密码。

谷歌还将所有已识别的 DarkSword 配送域名加入安全浏览。强烈建议用户立即升级到最新版本的 iOS;如果没有更新，建议启用锁定模式作为防止此类漏洞的额外防护。