文章总结： 自2025年11月以来，一个名为DarkSword的复杂iOS全链漏洞利用工具包被用于窃取多国用户的敏感数据。它通过串联六个漏洞（其中四个为0Day），绕过苹果的安全机制以获取设备完全控制权。该攻击工具包已被多个黑客组织和商业监控供应商使用，它们通过钓鱼网站、恶意标签等方式进行传播，并部署不同的恶意软件家族，如GHOSTKNIFE、GHOSTSABER和GHOSTBLADE，以窃取各类个人信息。苹果公司已在后续的iOS版本中修复了相关漏洞，建议用户尽快更新系统以防范此类攻击。 综合评分： 85 文章分类： 恶意软件,漏洞分析,渗透测试,移动安全,威胁情报

DarkSword串联六漏洞攻破iOS，窃取四国用户敏感数据

FreeBuf

2026年3月19日 18:05 上海

#

自2025年11月以来，多个商业监控供应商和国家支持的黑客组织一直在使用名为DarkSword的复杂全链iOS漏洞利用工具包，从四个国家的iPhone用户处窃取敏感个人数据。

DarkSword是一个全链iOS漏洞利用工具，通过串联六个不同的漏洞（其中四个被用作0Day漏洞），成功实现对运行iOS 18.4至18.7系统的iPhone设备的完全控制。

#

Part01

六漏洞串联攻击链

该漏洞利用链完全基于JavaScript运行，使攻击者能够绕过苹果的页面保护层（PPL）和安全页表监视器（SPTM）的安全机制，这些机制原本会阻止执行未签名的原生二进制代码。

GTIG、iVerify和Lookout根据从恢复的载荷中提取的工具标记分析了该漏洞利用链的名称，并确认其已被用于针对沙特阿拉伯、土耳其、马来西亚和乌克兰受害者的定向攻击活动。

六漏洞攻击链始于针对JavaScriptCore（Safari和WebKit使用的苹果JavaScript引擎）的远程代码执行（RCE）漏洞利用，随后通过两个沙箱逃逸阶段、一个本地权限提升，最终部署有效载荷，使攻击者获得完整的内核级权限。

（CVE-2026-20700）是苹果dyld动态链接器中的指针认证码（PAC）绕过漏洞，该漏洞直接与两个RCE漏洞串联使用，在GTIG向苹果报告后，直到iOS 26.3才得到修复。

GTIG识别出三种不同的后渗透恶意软件家族，这些家族在DarkSword成功入侵后被部署，每个家族都针对特定威胁行为者的需求进行了定制。

Part02

恶意软件家族分析

威胁集群UNC6748通过一个模仿Snapchat的钓鱼网站（snapshare[.]chat）部署了GHOSTKNIFE，这是一个JavaScript后门，能够窃取设备上已登录的账户、消息、浏览器数据、位置历史和麦克风录音。它通过使用ECDH和AES加密的自定义二进制协议与命令控制（C2）服务器通信，并主动删除设备上的崩溃日志以逃避取证检测。

土耳其商业监控供应商PARS Defense在针对土耳其和马来西亚的攻击活动中部署了GHOSTSABER，支持超过15种不同的C2命令，包括设备枚举、文件窃取、任意SQLite查询执行和照片缩略图上传。GHOSTSABER的某些命令（如录音和实时地理位置）尚未在JavaScript植入程序中完全实现，这表明运行时可能从C2服务器下载后续的二进制模块。

疑似俄罗斯间谍组织UNC6353使用的GHOSTBLADE是一个全面的数据挖掘工具，可窃取iMessages、Telegram和WhatsApp数据、加密货币钱包数据、Safari历史记录和Cookie、健康数据库、设备钥匙串、位置历史记录和保存的Wi-Fi密码。与其他两个家族不同，GHOSTBLADE不持续运行或支持交互式后门命令，但其广泛的数据收集能力使其对情报收集行动极具价值。值得注意的是，GHOSTBLADE的库代码中包含一个名为startSandworm()的未实现函数引用，这可能是另一个即将推出的漏洞利用工具的代号。

Part03

攻击传播方式

UNC6748通过一个假冒的Snapchat网站传播DarkSword，使用具有反调试保护和会话存储指纹识别的混淆JavaScript加载器，以避免重复感染同一受害者。

PARS Defense升级了其传播机制，利用攻击者基础设施与受害者设备之间的ECDH密钥交换对漏洞利用阶段进行加密，显示出更高的操作安全意识。

疑似俄罗斯间谍组织UNC6353（此前与Coruna iOS漏洞利用工具包有关联）将恶意标签嵌入被入侵的乌克兰网站，通过隐藏的iFrame静默加载DarkSword。值得注意的是，UNC6353源代码中的一条注释是用俄语编写的，GTIG一直在与CERT-UA合作，以缓解这一持续到2026年3月的攻击活动。

Part04

攻击模式全面升级

总体而言，这些攻击活动展现出从相对简单的社会工程攻击向高度模块化、隐蔽且以数据为中心的运营模式转变，既反映了对防御措施的适应，也体现了攻击者技术的日益成熟。

报告总结道：”这三个攻击活动展示了多种战术，以及对传统ClickFix模式的改进。虽然都利用了生成式AI相关诱饵，但从冒充知名企业的恶意网站转向共享ChatGPT对话，标志着社会工程技术的重大转变。攻击者成功利用了两大优势：在可信域名托管恶意内容（首轮攻击也已采用），以及利用ChatGPT对话的相对新颖性。”

GTIG于2025年底向苹果报告了所有DarkSword漏洞，所有六个CVE漏洞随后都得到了修复，大部分在iOS 26.3发布前就已修复。谷歌也已将所有已识别的DarkSword传播域名添加到安全浏览列表中。强烈建议用户立即更新到最新版本的iOS；如果无法更新，建议启用锁定模式作为针对此类漏洞利用的额外防护措施。

参考来源：

New iOS Exploit With Advanced iPhone Hacking Tools Attacking Users to Steal Personal Data

New iOS Exploit With Advanced iPhone Hacking Tools Attacking Users to Steal Personal Data

#

#

#

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《DarkSword串联六漏洞攻破iOS，窃取四国用户敏感数据》