# 策展 · X (Twitter) 🔥 > 作者:CZ 🔶 BNB (@cz_binance) · 平台:X (Twitter) · 日期:2026-03-25 > 原始來源:https://x.com/cz_binance/status/2035147432770904199 ## 中文摘要 Google 威脅情報小組在 2025 年 11 月以來發現名為「DarkSword」的 iOS 完整漏洞鏈遭多個威脅行為體採用。該漏洞鏈利用六個零日漏洞完全破壞設備,已在沙烏地阿拉伯、土耳其、馬來西亞和烏克蘭等地針對目標發起攻擊,反映出單一漏洞工具包在不同威脅行為體間擴散的危險趨勢。 **支援版本與部署方式** DarkSword 支援 iOS 18.4 至 18.7 版本,利用六個不同的漏洞部署最終階段的 payload。Google 威脅情報小組已識別三個不同的惡意軟體家族:「GHOSTBLADE」、「GHOSTKNIFE」和「GHOSTSABER」。該漏洞鏈的擴散模式與此前發現的 Coruna iOS 漏洞工具包相似,值得注意的是,曾使用 Coruna 的俄羅斯間諜組織 UNC6353 已納入 DarkSword 進行水坑式攻擊。 **威脅行為體與攻擊活動** - **UNC6748 與沙烏地阿拉伯目標**:2025 年 11 月初,該威脅集群透過 Snapchat 主題的虛假網站(snapshare[.]chat)針對沙烏地阿拉伯使用者。網站使用混合混淆技術,動態注入 JavaScript 程式碼。該行為體在整個 11 月進行多次更新,包括添加反調試和增強混淆,以及針對 Chrome 使用者的額外程式碼。儘管後續更新存在邏輯缺陷(未正確處理 iOS 18.7),但最終修正了該問題。 - **PARS Defense 與土耳其及馬來西亞活動**:土耳其商業監控廠商 PARS Defense 在 2025 年 11 月晚期於土耳其開展行動,之後在 2026 年 1 月於馬來西亞針對不同客戶進行活動。該行為體的操安措施更為謹慎,對漏洞載入器進行混淆、使用 ECDH 和 AES 加密,並正確取得對應 iOS 版本的遠端程式碼執行漏洞。 - **UNC6353 的烏克蘭水坑式活動**:俄羅斯間諜組織 UNC6353 自 2025 年 12 月起透過受威脅的烏克蘭網站投放 DarkSword,針對烏克蘭使用者。該活動透過注入惡意指令碼標籤,從伺服器(static.cdncounter[.]net)獲取第一階段 payload。儘管此版本僅支援 iOS 18.4-18.6,但其載入器邏輯比早期使用者的實現更正確。 **三個 Payload 家族的功能對比** - **GHOSTKNIFE**:由 UNC6748 部署的 JavaScript 後門,具備多個資料竊取模組,包括已登入帳號、訊息、瀏覽器資料、位置歷史和錄音。支援從 C2 伺服器下載檔案、擷取螢幕截圖和錄製麥克風音訊,使用 ECDH 與 AES 加密的自訂二進位協議通訊。為掩蓋蹤跡,會定期清除裝置上的當機日誌。 - **GHOSTSABER**:PARS Defense 使用的 JavaScript 後門,支援裝置和帳號列舉、檔案列表、資料竊取和執行任意 JavaScript 程式碼。部分命令包含錄音和地理位置傳送功能的程式碼參考,但實現不完整,可能由後續下載的二進位模組補充。 - **GHOSTBLADE**:UNC6353 部署的資料竊取工具,功能相對較弱,無額外模組或後門功能,不持續運行。同樣包含清除當機報告的程式碼,內含完整除錯記錄和大量程式碼註解。樣本中發現對 iOS 18.4 及以上版本的條件執行程式碼,表明其可支援低於 DarkSword 最低版本的 iOS。 **漏洞鏈技術分析** 與 Coruna 不同,DarkSword 採用純 JavaScript 完成所有漏洞階段和最終 payload,無需識別繞過頁面保護層(PPL)或安全頁面表監視(SPTM)防護的漏洞。漏洞鏈包含: - CVE-2025-31277 與 CVE-2025-43529:JavaScriptCore 的記憶損壞漏洞,分別針對 iOS 18.4-18.5 和 18.6-18.7 - CVE-2026-20700:dyld 的 Pointer Authentication Codes(PAC)繞過漏洞 - CVE-2025-14174:ANGLE WebGL 操作驗證不足,導致 Safari GPU 程序越界記憶操作 - CVE-2025-43510:XNU 記憶管理漏洞(寫時複製缺陷) - CVE-2025-43520:XNU 虛擬檔案系統的核心模式競賽條件 **補丁與緩解建議** Google 威脅情報小組於 2025 年晚期向 Apple 報告所有漏洞,大部分已在 iOS 18.7.2、18.7.3 及 iOS 26.1 至 26.3 版本中修補。該小組已將 DarkSword 相關網域新增至 Safe Browsing,強烈敦促使用者更新至最新 iOS 版本;若無法更新,建議啟用鎖定模式以增強安全防護。本研究與 Lookout 及 iVerify 等業界夥伴協調發佈。 ## 標籤 資安, iOS, 產業趨勢, Google, Apple