概要
TA446、ロシア関連のスパイ組織は、iOSデバイスを標的とする新しいフィッシングキャンペーンでDarkSwordエクスプロイトキットを使用し始めました。
詳細情報
このキャンペーンでは、Atlantic Council(アトランティック・カウンシル)のテーマを利用した誘導メールが使用されています。TA446は従来、ZIPファイルを介してマルウェアを配布していましたが、今度はURLベースの配信に変更しました。
Proofpointは3月26日に、Atlantic Councilのイベントを装ったスパムメールの増加を観測し、その中にはDarkSwordエクスプロイトキットを使用するものがありました。この攻撃では、政府機関やシンクタンク、高等教育機関、金融機関、法律事務所などが標的となっています。
攻撃の仕組み
DarkSwordは最近リークされたiOSエクスプロイトチェーンで、特定のiOS 18.xバージョンを一発で乗っ取ることができます。このキットはSafariの脆弱性を利用し、リモートコード実行(RCE)、PACバイパス、サンドボックス脱出、およびメモリ内インプラントを含んでいます。
対策
Appleはセキュリティ更新プログラムを提供しており、古いiOSバージョンを使用しているユーザーには直ちにアップデートするよう通知しています。また、メールゲートウェイやWebプロキシでTA446のインフラストラクチャ(escofiringbijou[.]com, motorbeylimited[.]com, bridetvstreaming[.]org)をブロックすることも推奨されています。
結論
この攻撃は、iOSデバイスに対する高度なサイバー攻撃の可能性を示しています。ユーザーは信頼できないソースからのリンクやイベント招待状を慎重に扱うべきです。