Google Threat Intelligence Group (GTIG), Lookout и iVerify 18 марта 2026 года совместно раскрыли DarkSword. Набор из шести ошибок в iOS (три из них использовались как 0-day, уязвимости нулевого дня) позволяет полностью захватить iPhone через посещение веб-страницы. Затронуты iOS 18.4–18.7. Жертвы зафиксированы в Саудовской Аравии, Турции, Малайзии и на Украине.
Три группировки использовали DarkSword независимо друг от друга. UNC6748 (предположительный покупатель коммерческой слежки) атаковал Саудовскую Аравию через фишинговый сайт, замаскированный под Snapchat. Турецкий производитель программ наблюдения PARS Defense применял набор в Турции и Малайзии. Предполагаемая группа UNC6353 атаковала Украину через заражённые украинские сайты (подмена легитимных ресурсов).
Цепочка ошибок проводит злоумышленника от страницы Safari до ядра iOS. Первый этап обеспечивают две ошибки в JavaScriptCore. Для iOS 18.4–18.5 используется CVE-2025-31277 (путаница типов в JIT-компиляторе, исправлена в iOS 18.6). Для iOS 18.6–18.7 применяется CVE-2025-43529 (ошибка сборки мусора в JIT-слое DFG, исправлена в iOS 18.7.3/26.2). Обе связаны с CVE-2026-20700, обходом PAC (Pointer Authentication Code, код аутентификации указателей) в dyld. Эта 0-day ошибка исправлена только в iOS 26.3.
Второй этап выводит злоумышленника из песочницы Safari. CVE-2025-14174 (повреждение памяти в графическом слое ANGLE, 0-day, исправлена в iOS 18.7.3/26.2) переносит выполнение кода в процесс GPU. CVE-2025-43510 (ошибка в управлении памятью ядра, copy-on-write) перемещает выполнение в mediaplaybackd, системную службу с расширенными правами. Финальный этап, CVE-2025-43520 (состояние гонки в виртуальной файловой системе XNU), даёт полный доступ к памяти ядра.
Вся цепочка работает на чистом JavaScript, на устройство не записывается ни один неподписанный файл.
Читайте также: Атака на Stryker: хакеры стёрли 95% устройств через Microsoft Intune без вредоносного ПО
Каждый злоумышленник устанавливал свою вредоносную программу. UNC6748 использовал GHOSTKNIFE, бэкдор на JavaScript, который собирает учётные записи, сообщения, историю местоположений и записи микрофона. Обмен с управляющими серверами зашифрован ECDH/AES по собственному двоичному протоколу. GHOSTKNIFE удаляет журналы сбоев, чтобы затруднить криминалистический анализ.
PARS Defense работал иначе. GHOSTSABER, установленный на устройства в Турции и Малайзии, поддерживает более 16 команд. Среди них SQL-запросы к любой базе данных SQLite на устройстве, выгрузка данных приложений и произвольное выполнение JavaScript. Часть функций (запись звука, определение местоположения, снимки экрана) ссылается на общий участок памяти. По оценке GTIG, это указывает на загружаемый двоичный модуль второго этапа. PARS Defense применял шифрование ECDH/AES при доставке и правильно определяла версию iOS жертвы.
UNC6353 заражал легитимные украинские сайты. Вредоносный тег загружал сценарий с static.cdncounter[.]net. В исходном коде загрузчика обнаружен комментарий на русском языке. GHOSTBLADE выгружает iMessage, Telegram, WhatsApp (принадлежит Meta, деятельность которой признана экстремистской и запрещена на территории РФ), журналы звонков, контакты, связку ключей, пароли Wi-Fi, фотографии, файлы iCloud Drive, заметки, данные о здоровье, историю Safari и кошельки криптовалют. Программа работает по принципу «ударил и ушёл». Выгрузка занимает от нескольких секунд до минут, затем следы удаляются. GTIG сотрудничал с CERT-UA для противодействия этой кампании.
Читайте также: Театр безопасности: облачную платформу Microsoft для Пентагона одобрили вопреки проверке
Защитники должны воспринимать мобильные 0-day как полноценные пути проникновения в корпоративную сеть. Финансовый и шпионский удобные ярлыки, но один и тот же доступ и набор инструментов позволяют добиться обеих целей в одной операции.
— Пит Любан (Pete Luban), AttackIQ
GTIG обнаружил различия в качестве работы трёх групп. UNC6748 допускал ошибки в загрузчике и не учёл выход iOS 18.7, вышедшей за два месяца до атаки. PARS Defense применяла запутывание кода (обфускацию), шифрование и корректно определяла версию. UNC6353 правильно маршрутизировал по версиям, но поддерживал только iOS 18.4–18.6, несмотря на более позднее время операции.
Аналитики Lookout нашли признаки использования LLM (больших языковых моделей) при написании части кода вредоносных программ. iVerify отметила, что оба недавних набора для iOS, Coruna и DarkSword, были обнаружены «благодаря грубым ошибкам оперативной безопасности при развёртывании». Образец GHOSTBLADE содержал полные записи отладки и подробные комментарии в коде. В библиотеках GHOSTBLADE обнаружена ссылка на функцию startSandworm(). Функция не реализована. GTIG предполагает, что это кодовое название другого инструмента.
CISA добавила CVE-2026-20700 в каталог активно используемых ошибок (KEV). Google внёс все домены DarkSword в Safe Browsing. По данным iVerify, DarkSword не сработает на устройствах с включённым режимом блокировки (Lockdown Mode). На iPhone 17 с функцией MIE (Memory Integrity Enforcement, контроль целостности памяти) набор тоже неэффективен. До мая iVerify предлагает приложение iVerify Basic бесплатно для проверки заражения.
Владельцам iPhone необходимо обновиться до iOS 26.3.1 или iOS 18.7.6. Пользователям, которые не могут обновиться, стоит включить режим блокировки (Lockdown Mode). DarkSword захватывает iPhone при одном посещении заражённого сайта и выгружает данные за минуты. GTIG считает «вероятным, что другие производители программ наблюдения или группировки тоже используют DarkSword».
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
