概要

セキュリティ研究者が確認したところによると、高度なiOSエクスプロイトチェーンであるDarkSwordが、元々の脅威アクターグループ以外にも公開されていることが明らかになりました。最近、セキュリティ研究者の@matteyeux氏は、iPad mini 6th generationで動作するiOS 18.6.2に対して、実世界で使用されているDarkSwordエクスプロイトを使用してカーネル読み書きアクセスを達成しました。

攻撃手法

DarkSwordは完全なエクスプロイトキットであり、JavaScriptで書かれています。攻撃の手順は通常、ユーザーが悪意のあるiframeを含むハックされたウェブサイトにアクセスしたときに始まります。これは「ウォーターホール攻撃」と呼ばれる手法です。

• 攻撃者は、信頼パス読み取り専用とポインタ認証コードの緩和をバイパスし、書き込み可能なスタックメモリに存在する敏感な内部dyld構造を利用することで、Safari WebContentサンドボックスから脱出します。
• 攻撃者は次にGPUプロセスへと移動し、ANGLEグラフィックスエンジンのアウトオブバウンド書き込み脆弱性を利用してXNUカーネルを標的とします。

これらの手順により、攻撃者は任意のメモリ読み書きプリミティブを確立し、サンドボックス制限を変更したり、制限されたファイルシステムにアクセスすることができます。

脅威グループと影響範囲

Google Threat Intelligence Groupは、DarkSwordが2025年11月からアクティブなキャンペーンで使用されていることを最初に観察しました。このツールキットは主にUNC6353（疑いのあるロシアのスパイグループ）に帰属しており、以前にはCoruna iOSエクスプロイトキットを使用していました。これらの攻撃者はウクライナ、サウジアラビア、トルコ、マレーシアを含むターゲットに対して積極的にこのエクスプロイトチェーンを展開しています。

後続のマルウェア

攻撃者は完全にメモリ上で動作し、スクリプトを強制的にロードして最終ステージのペイロードをデプロイします。研究者Matteyeux氏は、ポストコンフリクトで3つの異なるマルウェアファミリーが展開されていることを確認しました：GHOSTBLADE、GHOSTKNIFE、およびGHOSTSABER。これらのペイロードは、セキュアなメッセージ、保存された資格情報、暗号通貨ウォレット情報を含む非常に機密性の高いデータを積極的にエクスフリートします。

対策

独立した研究者によるDarkSwordの公開検証は、全体的な脅威レベルを大幅に引き上げています。システム管理者とセキュリティチームは、すべてのAppleデバイスがiOS 26.1以降にすぐに更新されるようにする必要があります。これらのバージョンには、基本的なカーネル脆弱性に対するパッチが含まれています。

高リスクの個人や企業向けターゲットに対しては、AppleのLockdown Modeを有効にすることが重要です。これにより、複雑なウェブベースのエクスプロイトチェーンに対する追加の防御層が提供されます。

---

元記事: https://gbhackers.com/darksword-exploit-chain-leaked-online/