Ρώσοι χάκερ που χρηματοδοτούνται από το κράτος έχουν αρχίσει να οπλίζουν το κιτ εκμετάλλευσης DarkSword iOS που διέρρευσε πρόσφατα σε μια στοχευμένη καμπάνια spear-phishing, την πρώτη γνωστή προσπάθειά τους να παραβιάσουν συσκευές Apple και λογαριασμούς iCloud. Η Proofpoint αποκάλυψε την καμπάνια, αποδίδοντάς την στο TA446, επίσης γνωστό ως Callisto, COLDRIVER και Star Blizzard, το οποίο συνδέεται με την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB).
Η καμπάνια περιλαμβάνει ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου με «πρόσκληση συζήτησης» που παραπλανούν το Atlantic Council, τα οποία αποστέλλονται από παραβιασμένους λογαριασμούς. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου στοχεύουν να παραδώσουν το GHOSTBLADE, ένα κακόβουλο λογισμικό εξόρυξης δεδομένων, μέσω του κιτ εκμετάλλευσης DarkSword. Μεταξύ των στόχων που εντοπίστηκαν είναι ο Λεονίντ Βολκόφ, εξέχουσα προσωπικότητα της ρωσικής αντιπολίτευσης και πολιτικός διευθυντής του Ιδρύματος κατά της Διαφθοράς. Η Proofpoint σημείωσε ότι η στόχευση της καμπάνιας περιλαμβάνει ένα ευρύτερο φάσμα οντοτήτων από το συνηθισμένο, συμπεριλαμβανομένων των κυβερνήσεων, των δεξαμενών σκέψης, της τριτοβάθμιας εκπαίδευσης, των χρηματοπιστωτικών και νομικών ιδρυμάτων.
Η Proofpoint παρατήρησε άμεσα αυτήν τη δραστηριότητα ηλεκτρονικού ταχυδρομείου και αποδίδει τα μηνύματα στον ρωσικό παράγοντα απειλών FSB TA446 με υψηλή εμπιστοσύνη. Δεν έχουμε παρατηρήσει προηγουμένως το TA446 να στοχεύει τους λογαριασμούς iCloud των χρηστών ή τις συσκευές Apple, αλλά την υιοθέτηση του κιτ εκμετάλλευσης του DarkSword iOS που διέρρευσε… https://t.co/iXi2fdlsZd
— Threat Insight (@threatinsight) 27 Μαρτίου 2026
Το TA446 έχει επικεντρωθεί ιστορικά στη συλλογή διαπιστευτηρίων μέσω επιθέσεων spear-phishing. Ωστόσο, η υιοθέτηση του κιτ DarkSword δείχνει μια επέκταση στην εκμετάλλευση κινητών τηλεφώνων. Η Proofpoint δήλωσε, «Δεν έχουμε παρατηρήσει στο παρελθόν τους λογαριασμούς iCloud των χρηστών που στοχεύουν το TA446 ή τις συσκευές Apple, αλλά η υιοθέτηση του κιτ εκμετάλλευσης του DarkSword iOS που διέρρευσε έχει πλέον δώσει τη δυνατότητα στον ηθοποιό να στοχεύει συσκευές iOS». Τα μηνύματα ηλεκτρονικού ταχυδρομείου έχουν σχεδιαστεί ειδικά για να εκμεταλλεύονται ευπάθειες στα iPhone, ανακατευθύνοντας χρήστες που δεν είναι iOS σε ένα καλό PDF.
Η Proofpoint παρατήρησε μια αύξηση στον όγκο των email TA446 τις τελευταίες δύο εβδομάδες, η οποία συμπίπτει με άλλες καμπάνιες που αναπτύσσουν το backdoor MAYBEROBOT μέσω αρχείων ZIP που προστατεύονται με κωδικό πρόσβασης.
Το κιτ εκμετάλλευσης DarkSword αποκαλύφθηκε αρχικά από μια κοινή έρευνα από το Google Threat Intelligence Group, το Lookout και το iVerify. Εκμεταλλεύεται έξι ευπάθειες, συμπεριλαμβανομένων τριών ελαττωμάτων μηδενικής ημέρας, που επηρεάζουν τα iPhone που εκτελούν εκδόσεις iOS 18.4 έως 18.7. Μια νέα έκδοση του κιτ διέρρευσε στο GitHub στις 23 Μαρτίου, προκαλώντας ανησυχίες σχετικά με τη δυνατότητα πρόσβασης σε προηγμένα exploit από λιγότερο εξειδικευμένους παράγοντες απειλών. Ο Justin Albrecht, κύριος ερευνητής στο Lookout, δήλωσε ότι «το DarkSword αντικρούει την κοινή πεποίθηση ότι τα iPhone είναι απρόσβλητα στις κυβερνοαπειλές», τονίζοντας ότι η έκδοση που διέρρευσε μπορεί να χρησιμοποιηθεί από ανειδίκευτους παράγοντες απειλών.
Ως απάντηση σε αυτές τις απειλές, η Apple έχει ξεκινήσει ειδοποιήσεις Lock Screen για χρήστες με παλαιότερες εκδόσεις iOS. Αυτές οι ειδοποιήσεις προειδοποιούν για ενεργές επιθέσεις που βασίζονται στον ιστό και συνιστούν άμεσες ενημερώσεις για συσκευές που λειτουργούν τόσο παλιά όσο το iOS 17.0. Η Apple κυκλοφόρησε τις ενημερώσεις iOS 15.8.7 και iOS 16.7.15 στις 11 Μαρτίου, επιτρέποντας στις παλαιότερες συσκευές να επωφεληθούν από βελτιωμένες προστασίες. Οι χρήστες στο iOS 13 ή 14 πρέπει να ενημερώσουν το iOS 15 για να λάβουν τις απαραίτητες ενημερώσεις κώδικα. Επιπλέον, η Apple έχει συμβουλεύσει τους χρήστες που δεν μπορούν να ενημερώσουν για να ενεργοποιήσουν τη λειτουργία κλειδώματος, δηλώνοντας ότι δεν γνωρίζει τυχόν επιτυχείς επιθέσεις spyware εναντίον συσκευών με ενεργοποιημένη αυτήν τη λειτουργία.
VIA: DataConomy.com
