DarkSword iOS漏洞利用工具包：利用6个漏洞、3个零日漏洞实现完全设备接管

2026年3月19日——据Google威胁情报小组（GTIG）、iVerify和Lookout的报告，一个针对Apple iOS设备设计用于窃取敏感数据的新漏洞利用工具包自2025年11月以来一直被多个威胁行为者使用。

DarkSword漏洞利用工具包

据GTIG称，多个商业监控供应商和疑似国家支持的参与者已在针对沙特阿拉伯、土耳其、马来西亚和乌克兰的不同活动中利用这个名为DarkSword的完整漏洞链工具包。

DarkSword的发现使其成为继Coruna之后，在一个月内发现的第二个iOS漏洞利用工具包。该工具包旨在针对运行iOS 18.4至18.7版本的iPhone，据说已被名为UNC6353的疑似俄罗斯间谍组织部署用于攻击乌克兰用户。

值得注意的是，UNC6353还被关联到使用Coruna通过将JavaScript框架注入被入侵网站来攻击乌克兰人。

攻击目标

Lookout表示："DarkSword旨在提取大量个人信息，包括设备中的凭证，并专门针对大量加密货币钱包应用，暗示这是一个具有财务动机的威胁行为者。"

"值得注意的是，DarkSword似乎采取'打了就跑'的方式，在几秒钟或最多几分钟内收集和渗出目标数据，然后进行清理。"

技术细节

Coruna和DarkSword等漏洞链旨在促进对受害者设备的完全访问，而几乎不需要用户交互。这些发现再次表明，存在一个二手漏洞市场，允许资源有限且目标不一定与网络间谍活动一致的威胁组织获取"顶级漏洞"并用它们感染移动设备。

GTIG表示："DarkSword和Coruna被各种行为者使用，这表明了漏洞在地理和动机各异的行为者之间持续扩散的风险。"

利用的漏洞

与这个新发现的工具包关联的漏洞链利用六个不同的漏洞来部署三个有效载荷，其中以下漏洞在苹果修补之前被作为零日漏洞利用：

• CVE-2026-20700 - dyld中的用户模式指针认证码（PAC）绕过（在版本26.3中修补）
• CVE-2025-43529 - JavaScriptCore中的内存损坏漏洞（在版本18.7.3和26.2中修补）
• CVE-2025-14174 - ANGLE中的内存损坏漏洞（在版本18.7.3和26.2中修补）

其他被利用的漏洞包括：

• CVE-2025-31277 - JavaScriptCore中的内存损坏漏洞（在版本18.6中修补）
• CVE-2025-43510 - iOS内核中的内存管理漏洞（在版本18.7.2和26.1中修补）
• CVE-2025-43520 - iOS内核中的内存损坏漏洞（在版本18.7.2和26.1中修补）

攻击机制

Lookout表示，在对与UNC6353关联的恶意基础设施进行分析后发现了DarkSword，识别出其中一个被入侵的域名托管了一个恶意iFrame元素，负责加载JavaScript以对访问该网站的设备进行指纹识别，并确定是否需要将目标路由到iOS漏洞链。目前尚不清楚网站被感染的确切方法。

值得注意的是，该JavaScript专门寻找运行18.4至18.6.2版本之间的iOS设备，与Coruna不同，后者针对的是从13.0到17.2.1的旧iOS版本。

Lookout解释说："DarkSword是一个完整的漏洞链和信息窃取器，用JavaScript编写。它利用多个漏洞建立特权代码执行，以访问敏感信息并将其渗出设备。"

来源：The Hacker News