Back to Blog

DarkSword iOS Exploit Kit อาวุธใหม่โจมตี iPhone ใช้ 6 ช่องโหว่ 3 Zero-Day ยึดอุปกรณ์ได้เต็มรูปแบบ

พบชุดเครื่องมือแฮก DarkSword สำหรับ iOS ใช้ช่องโหว่ 6 รายการและ Zero-Day 3 รายการเพื่อยึดควบคุม iPhone ได้เต็มรูปแบบ ขโมยข้อมูลสำคัญและมุ่งเป้าแอปคริปโต

Sales
1 min read
DarkSword iOS Exploit Kit อาวุธใหม่โจมตี iPhone ใช้ 6 ช่องโหว่ 3 Zero-Day ยึดอุปกรณ์ได้เต็มรูปแบบ

ชุดเครื่องมือแฮกหรือเอ็กซ์พลอยต์คิตใหม่สำหรับอุปกรณ์ iOS ของ Apple ที่มีชื่อว่า DarkSword ถูกพบว่ากำลังถูกใช้งานโดยกลุ่มผู้คุกคามหลายกลุ่มตั้งแต่เดือนพฤศจิกายน 2025 เป็นต้นมา ตามรายงานจากหน่วยข่าวกรองภัยคุกคามของ Google iVerify และ Lookout

ชุดเครื่องมือนี้ถูกใช้โดยผู้ขายบริการสอดแนมเชิงพาณิชย์และผู้ต้องสงสัยว่าสนับสนุนโดยรัฐ ในการโจมตีเป้าหมายในประเทศซาอุดีอาระเบีย ตุรกี มาเลเซีย และยูเครน DarkSword เป็นเอ็กซ์พลอยต์คิตตัวที่สองที่ถูกค้นพบภายในหนึ่งเดือน ต่อจาก Coruna โดยมุ่งเป้าไปที่ iPhone ที่รัน iOS เวอร์ชัน 18.4 ถึง 18.7


เป้าหมายและวิธีการโจมตี

DarkSword มีเป้าหมายเพื่อขโมยข้อมูลส่วนบุคคลจำนวนมาก รวมถึงข้อมูลรับรองจากอุปกรณ์ และมุ่งเป้าไปที่แอปพลิเคชันกระเป๋าเงินคริปโตจำนวนมาก ซึ่งชี้ให้เห็นถึงผู้คุกคามที่มีแรงจูงใจทางการเงิน สิ่งที่น่าสังเกตคือ DarkSword ใช้แนวทาง Hit-and-Run โดยรวบรวมและส่งข้อมูลออกจากอุปกรณ์ภายในไม่กี่วินาทีหรือนาที จากนั้นจึงทำความสะอาด痕迹

ชุดโซ่เอ็กซ์พลอยต์เช่น Coruna และ DarkSword ถูกออกแบบมาเพื่อให้เข้าถึงอุปกรณ์ของผู้เสียหายได้อย่างสมบูรณ์โดยไม่ต้องการการโต้ตอบจากผู้ใช้ การค้นพบนี้แสดงให้เห็นอีกครั้งว่ามีตลาดรองสำหรับเอ็กซ์พลอยต์ที่ช่วยให้กลุ่มผู้คุกคามที่มีทรัพยากรจำกัดสามารถซื้อเอ็กซ์พลอยต์ระดับสูงมาใช้โจมตีอุปกรณ์มือถือได้


รายละเอียดช่องโหว่ที่ถูกใช้

โซ่เอ็กซ์พลอยต์ของ DarkSword ใช้ช่องโหว่ความปลอดภัยทั้งหมด 6 รายการเพื่อปรับใช้ Payload 3 ชุด โดยในจำนวนนี้มี 3 รายการที่เป็น Zero-Day ก่อนที่ Apple จะออกแพตช์แก้ไข

  • CVE-2025-31277 - ช่องโหว่ความเสียหายหน่วยความจำใน JavaScriptCore
  • CVE-2026-20700 - ช่องโหว่บายพาส PAC ใน dyld
  • CVE-2025-43529 - ช่องโหว่ความเสียหายหน่วยความจำใน JavaScriptCore
  • CVE-2025-14174 - ช่องโหว่ความเสียหายหน่วยความจำใน ANGLE
  • CVE-2025-43510 - ช่องโหว่การจัดการหน่วยความจำในเคอร์เนล iOS
  • CVE-2025-43520 - ช่องโหว่ความเสียหายหน่วยความจำในเคอร์เนล iOS

ขั้นตอนการทำงานของมัลแวร์

การโจมตีเริ่มต้นเมื่อผู้ใช้เยี่ยมชมเว็บเพจผ่าน Safari ที่ฝัง iFrame ที่มี JavaScript อยู่ หลังจากนั้น DarkSword จะสามารถหลบหนีออกจากซันด์บ็อกซ์ WebContent และใช้ WebGPU เพื่อฉีดโค้ดเข้าไปใน mediaplaybackd ซึ่งเป็นดีมอนระบบของ Apple

Timeline การโจมตีและช่องโหว่ของ DarkSword

ขั้นตอนนี้ทำให้มัลแวร์ขโมยข้อมูลที่ชื่อ GHOSTBLADE ได้รับสิทธิ์ในการเข้าถึงกระบวนการที่มีสิทธิพิเศษและส่วนที่ถูกจำกัดของระบบไฟล์ หลังจากเพิ่มสิทธิ์สำเร็จ โมดูล Orchestrator จะถูกใช้เพื่อโหลดคอมโพเนนต์เพิ่มเติมที่ออกแบบมาเพื่อเก็บเกี่ยวข้อมูลสำคัญ และฉีด Payload การส่งข้อมูลออกไปยัง Springboard เพื่อส่งข้อมูลที่รวบรวมไว้ไปยังเซิร์ฟเวอร์ภายนอก

ข้อมูลที่ถูกขโมยรวมถึงอีเมล ไฟล์จาก iCloud Drive รายชื่อติดต่อ ข้อความ SMS ประวัติการท่องเว็บและคุกกี้ของ Safari ข้อมูลกระเป๋าเงินคริปโตและแพลตฟอร์มแลกเปลี่ยน ชื่อผู้ใช้ รหัสผ่าน ภาพถ่าย ประวัติการโทร การตั้งค่าและรหัสผ่าน Wi-Fi ประวัติตำแหน่ง ปฏิทิน ข้อมูลเซลลูลาร์และ SIM รายการแอปที่ติดตั้ง ข้อมูลจากแอปของ Apple เช่น Notes และ Health และประวัติข้อความจากแอปเช่น Telegram และ WhatsApp


กลุ่มผู้คุกคามและข้อสังเกต

การใช้ DarkSword ถูกเชื่อมโยงกับกลุ่มผู้คุกคามหลายกลุ่ม รวมถึง UNC6353 ซึ่งสงสัยว่าสนับสนุนโดยรัสเซีย และมีเป้าหมายผู้ใช้ในยูเครน กลุ่ม UNC6748 ซึ่งเป้าหมายผู้ใช้ในซาอุดีอาระเบีย และกิจกรรมที่เชื่อมโยงกับผู้ข่ายบริการสอดแนมเชิงพาณิชย์จากตุรกีอย่าง PARS Defense ซึ่งเป้าหมายผู้ใช้ในตุรกีและมาเลเซีย

โครงสร้างการโหลดและคอมโพเนนต์ของ DarkSword

มัลแวร์นี้มีความซับซ้อนสูงและดูเหมือนเป็นแพลตฟอร์มที่ออกแบบมาอย่างมืออาชีพ ซึ่งช่วยให้สามารถพัฒนามอดูลได้รวดเร็วผ่านการเข้าถึงภาษาการเขียนโปรแกรมระดับสูง สิ่งที่ทำให้ DarkSword แตกต่างจากสปายแวร์อื่นคือไม่ได้มีไว้สำหรับการสอดแนมและการรวบรวมข้อมูลอย่างต่อเนื่อง แต่มีเป้าหมายเพื่อลดระยะเวลาการพำนักอยู่ในระบบและส่งข้อมูลออกให้เร็วที่สุด


Reference

The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINE ดูสินค้าทั้งหมด