Мобильные устройства давно перестали быть просто средствами связи, превратившись в ключевой элемент корпоративной инфраструктуры, который хранит доступ, идентификаторы и конфиденциальные данные. Однако угрозы для этой платформы эволюционируют стремительно, смещаясь от традиционного вредоносного ПО к сложным, почти невидимым атакам, способным нанести существенный финансовый ущерб в считанные минуты. Ярким примером этой тревожной тенденции стала недавно обнаруженная эксплойт-цепочка DarkSword для iPhone, демонстрирующая, как инструменты высочайшего уровня, ранее доступные лишь государственным спецслужбам, теперь используются криминальными группами для быстрой финансовой наживы.
Описание
Специалисты Lookout Threat Labs в ходе совместного расследования с Google и iVerify выявили новую угрозу под кодовым названием DarkSword. Это полная цепочка эксплуатации уязвимостей и вредоносная полезная нагрузка, нацеленная на устройства iPhone под управлением iOS версий от 18.4 до 18.6.2. Атаку проводила та же неизвестная группа, которую Google отслеживает под именем UNC6353 и которая ранее применяла эксплойт Coruna. Целью, как и в прошлый раз, стали пользователи в Украине. Однако DarkSword выделяется своим «хит-энд-ран» подходом: после попадания на устройство программа-шпион в течение секунд или минут собирает обширный набор личной информации, включая учётные данные, историю сообщений, фотографии и - что особенно важно - данные криптокошельков, после чего самостоятельно очищает следы и завершает работу.
Сама по себе эксплуатация уязвимостей нулевого дня (0-day) в iOS всегда считалась уделом хорошо финансируемых государственных групп или коммерческих компаний, разрабатывающих инструменты для правоохранительных органов. Однако обнаружение DarkSword вслед за Coruna доказывает существование активного вторичного рынка подобных эксплойтов. Это позволяет группам с менее значительными ресурсами и откровенно корыстными мотивами приобретать инструменты высочайшего уровня и разворачивать их против рядовых пользователей. Поскольку современные смартфоны являются ключом не только к личным финансам, но и к корпоративным аккаунтам, такое развитие событий требует пересмотра подходов к мобильной безопасности.
Атака начинается с посещения пользователем легитимного, но взломанного веб-сайта. Исследователи обнаружили вредоносные iframe-элементы, внедрённые в код двух украинских ресурсов: новостного агентства novosti.dn[.]ua и официального сайта Седьмого апелляционного административного суда (7aac.gov[.]ua). При загрузке страницы скрытый фрейм запускает сложный каскад эксплуатации уязвимостей в Safari, WebGPU и ядре iOS, в итоге получая привилегированный доступ к системе. После этого основной модуль, написанный на JavaScript, действует как оркестратор, загружая дополнительные вредоносные компоненты в ключевые системные службы Apple, такие как securityd и wifid.
Финальный этап работы DarkSword - тотальный сбор и эксфильтрация данных. Зловред выгружает с устройства SMS, историю звонков, контакты, пароли от Wi-Fi, cookies Safari, геолокацию, заметки, фотографии, файлы из iCloud Drive, электронные письма и историю переписки из Telegram и WhatsApp. Особое внимание уделяется финансовой составляющей: целевым образом извлекаются данные из приложений криптобирж (Coinbase, Binance, Kraken) и кошельков (Ledger, Trezor, Metamask). Вся собранная информация отправляется на управляющий сервер, после чего временные файлы удаляются, что делает обнаружение инцидента крайне сложным.
Анализ инфраструктуры и кода DarkSword позволяет составить портрет группы UNC6353. Несмотря на доступ к дорогостоящим эксплойтам, сама группа демонстрирует surprisingly низкую техническую изощрённость. Код практически не обфусцирован, содержит многочисленные комментарии и логи, а сервер для приёма данных, названный «DarkSword File Receiver», выполнен примитивно, с использованием эмодзи. Это наводит на мысль, что группа либо не обладает сильными инженерными ресурсами, либо пренебрегает операционной безопасностью (OPSEC). Также есть признаки использования больших языковых моделей (ИИ) для генерации части кода.
Главный вывод из этой истории заключается в демократизации высокотехнологичных угроз. Вторичный рынок эксплойтов позволяет группам с криминальными намерениями получать в своё распоряжение инструменты, способные обойти даже самую современную защиту мобильных ОС. Атаки через скомпрометированные сайты (watering hole) особенно коварны, так как они обходят тренировки пользователей по фишингу - жертва посещает легитимный, знакомый ей ресурс. Защита от подобных угроз требует комплексного подхода: безусловный и максимально быстрый переход на последние версии iOS (уязвимости DarkSword закрыты в версиях 18.7.3 и 26.3), использование решений для защиты от компрометации устройств (Mobile Threat Defense), а также мониторинг веб-активности корпоративных устройств для выявления контактов с подозрительными ресурсами. В современной реальности мобильное устройство сотрудника - это часть периметра организации, и защищать его необходимо с соответствующим уровнем серьёзности.
Индикаторы компрометации
IPv4
- 141.105.130.237
Domains
- cdn.cdncounter.net
- cdncounter.net
- count.cdncounter.net
- sqwas.shapelie.com
- static.cdncounter.net
