關閉選單
  1. Home
  2. NEWS最新消息
  3. 漏洞與風險
  4. 資安漏洞
顯示分類
2026.03.20
漏洞與風險/資安漏洞
DarkSword:研究人員發現另一款 iOS 漏洞利用工具包

Google研究人員透露,一款名為「DarkSword」的強大 iPhone 駭客工具包自 2025 年 11 月以來一直被用於利用 iOS 零日漏洞入侵裝置。

DarkSword 利用 iOS 漏洞

兩週前,Google威脅情報組 (GTIG) 和 iVerify 揭露了Coruna的存在,這是一款間諜級 iOS 漏洞利用工具包,已被用於商業監視行動、與國家有關聯的網路間諜活動威脅行為者以及網路犯罪分子。

Coruna 包含 5 個完整的 iOS 漏洞利用鏈,總共 23 個漏洞利用程式(有 CVE 識別碼和沒有 CVE 識別碼),而 Darksword 則包含 6 個漏洞,允許攻擊者在易受攻擊的 iPhone 上實現遠端程式碼執行並部署惡意有效載荷。

其中三個漏洞存在於 WebKit 中,WebKit 是蘋果 Safari 瀏覽器以及 iOS 和 iPadOS 上所有網頁瀏覽器所使用的瀏覽器引擎。兩個漏洞存在於 iOS(和 macOS)核心中,一個漏洞存在於蘋果作業系統中的動態連結編輯器元件中。蘋果修復了以下漏洞:

✓  CVE-2025-31277(WebKit)漏洞存在於 iOS 18.6 中,將於 2025 年 7 月發布。

✓  iOS 26.1 和 18.7.2 中存在 CVE-2025-43510 和 CVE-2025-43520(核心)漏洞,將於 2025 年 11 月修復。

✓  iOS 26.2 和 18.7.3 中的CVE-2025-43529 和 CVE-2025-14174 (WebKit) 漏洞將於 2025 年 12 月被修復(此前有報告指出該漏洞已被惡意利用)。

✓  iOS 26.3 中的 CVE-2026-20700 (dyld) 於 2026 年 2 月發布,此前已確認存在零日漏洞。

DarkSword的發現

據Google研究人員稱,DarkSword 已被用於與多個威脅行為者相關的各種攻擊活動中,其中包括疑似俄羅斯國家支持的攻擊者 UNC6353(他們還利用了 Coruna 漏洞利用工具包)以及土耳其商業監控供應商 PARS Defense 的客戶。

DarkSword 使用狀況及蘋果修復漏洞的時間軸(資料來源:Google威脅情報小組)

在發現 Coruna 之後,行動安全公司 Lookout 的研究人員又發現了一個可疑域名 ( cdncounter[.]net ),該域名與先前已知的與 UNC6748 相關的惡意基礎設施密切相關。該網域與早期基礎設施具有相似的技術特徵,並與被入侵的烏克蘭網站相連,這些網站利用隱藏的 iframe 來傳播惡意程式碼。

進一步分析表明,此活動並非 Coruna 所為,而是一項新的行動:注入的程式碼對存取的裝置進行指紋識別,並使用單獨的漏洞利用鏈(DarkSword,因惡意軟體中發現的內部引用而得名)選擇性地針對某些 iOS 版本。

「DarkSword 是一個用 JavaScript 編寫的完整漏洞利用鍊和資訊竊取程式。它利用多個漏洞建立特權程式碼執行權限,從而存取敏感資訊並將其竊取裝置。攻擊鏈始於 Safari 瀏覽器遇到嵌入網頁中的惡意 iframe。載入後,DarkSword 會突破 WebContentent 沙箱的限制,然後利用 WebGPU 注入到 mediabackdent 沙箱的限制,然後利用 WebGPU 注入到 mediabackdent 沙箱的限制,然後利用 WebGPU 注入到 mediabackd進程中。

在獲得對設備的更深層訪問權限後,惡意軟體會運行一個主腳本,該腳本協調幾個較小的惡意組件,這些組件會收集密碼、加密密鑰和文件等敏感數據,並將它們臨時存儲在設備上,然後將它們發送到攻擊者控制的遠端伺服器。

DarkSword的使用

2025年11月,Google研究人員發現UNC6748利用DarkSword惡意軟體,透過一個類似Snapchat的網站,針對沙烏地阿拉伯用戶進行攻擊。同年11月和2026年1月,他們又發現了DarkSword被用於兩起與PARS Defense不同客戶相關的攻擊活動的證據,這兩起活動的目標用戶分別位於土耳其和馬來西亞。

先前曾被發現使用 Coruna 的 UNC6353 再次以烏克蘭用戶為目標,使用 DarkSword 和後門程式 (GHOSTBLADE) 收集有關設備的各種信息,包括已安裝的應用程式、帳戶、位置歷史記錄、照片、日曆條目、筆記、加密貨幣錢包和帳戶資料、Safari 歷史記錄等等。

Lookout 的研究人員表示,UNC6353 似乎掌握了高階 iOS 漏洞鏈,這些漏洞很可能來自頂級商業監控設備供應商。其中一些漏洞被用作零日漏洞,這表明該組織資金雄厚,並且可能與 Matrix LLC / Operation Zero 等漏洞利用代理商有關。

他們還指出,Coruna 和 DarkSword 都能竊取加密貨幣以及敏感的個人數據,這意味著它們既可用於間諜活動,也可用於金融竊盜。目前尚不清楚竊取加密貨幣是否是其主要目標,因此該組織可能出於經濟動機,或者這個與國家結盟的組織可能已經將目標擴展到行動用戶以牟利。

怎麼辦?

現在令人擔憂的是,其他網路犯罪分子可能會獲得這兩個工具包,並利用它們來攻擊更多 iOS 用戶。iVerify 的研究人員指出:「這些聯合攻擊現在可能會影響數億台運行 iOS 版本 13 到 18.6.2 的未打補丁的設備。我們強烈建議您更新到 iOS 18.7.6 或 iOS 26.3.1。這將緩解這些攻擊鏈中已被利用的所有漏洞。」谷歌研究人員表示,無法更新到上述任何版本的使用者應考慮啟用鎖定模式以增強安全性


資料來源:https://www.helpnetsecurity.com/2026/03/19/darksword-ios-exploit-iphone/
 
Google 研究人員揭露名為「DarkSword」的強力 iOS 漏洞利用工具包