DarkSword: Khai thác Zero-day iOS nghiêm trọng tấn công người dùng
Một bộ công cụ khai thác zero-day iOS tinh vi với tên gọi DarkSword đã được triển khai rộng rãi bởi nhiều nhà cung cấp giải pháp giám sát thương mại và các nhóm tấn công có nguồn lực mạnh từ ít nhất tháng 11 năm 2025. Mục tiêu chính là đánh cắp dữ liệu cá nhân nhạy cảm từ người dùng iPhone trên bốn quốc gia.
DarkSword là một chuỗi khai thác hoàn chỉnh trên iOS, kết hợp sáu lỗ hổng khác nhau. Trong đó, bốn lỗ hổng được sử dụng như các zero-day, nhằm mục đích chiếm quyền kiểm soát thiết bị hoàn toàn trên các iPhone chạy hệ điều hành từ iOS 18.4 đến 18.7.
Tổng quan về DarkSword: Chuỗi Khai thác Zero-Day iOS tinh vi
Chuỗi khai thác zero-day này hoạt động hoàn toàn bằng JavaScript. Điều này cho phép các tác nhân tấn công vượt qua các biện pháp bảo vệ của Apple như Page Protection Layer (PPL) và Secure Page Table Monitor (SPTM). Các biện pháp này vốn được thiết kế để ngăn chặn việc thực thi mã nhị phân gốc không có chữ ký.
Các tổ chức nghiên cứu bảo mật GTIG, iVerify và Lookout đã phân tích chuỗi khai thác. Tên gọi DarkSword được xác định dựa trên các dấu vết công cụ được nhúng trong các payload thu hồi. Việc sử dụng DarkSword trong các chiến dịch tấn công mục tiêu đã được xác nhận.
Chuỗi sáu lỗ hổng bắt đầu bằng việc khai thác thực thi mã từ xa (RCE) nhắm vào JavaScriptCore, công cụ JavaScript của Apple được sử dụng trong Safari và WebKit. Sau đó, nó tiến triển qua hai giai đoạn thoát khỏi sandbox, một giai đoạn leo thang đặc quyền cục bộ, và cuối cùng là triển khai payload để cấp quyền truy cập cấp kernel đầy đủ cho kẻ tấn công.
Phân tích Chuỗi Lỗ hổng Khai thác
Một trong những lỗ hổng CVE quan trọng trong chuỗi là CVE-2026-20700. Đây là một lỗ hổng bỏ qua Pointer Authentication Code (PAC) trong bộ liên kết động dyld của Apple. Lỗ hổng này được kết nối trực tiếp với cả hai khai thác RCE và chỉ được vá trong iOS 26.3 sau khi GTIG báo cáo cho Apple.
GTIG đã xác định ba họ mã độc hậu khai thác khác nhau được triển khai sau khi một cuộc tấn công DarkSword thành công. Mỗi họ mã độc này được tùy chỉnh để phục vụ các mục đích cụ thể của tác nhân đe dọa.
GHOSTKNIFE: Backdoor JavaScript Tinh Vi
GHOSTKNIFE được triển khai bởi nhóm đe dọa UNC6748 thông qua một trang web lừa đảo có giao diện giống Snapchat (snapshare[.]chat). Đây là một backdoor JavaScript có khả năng trích xuất các tài khoản đã đăng nhập, tin nhắn, dữ liệu trình duyệt, lịch sử vị trí và bản ghi âm từ micro của thiết bị.
Mã độc này giao tiếp với máy chủ chỉ huy và kiểm soát (C2) của nó qua một giao thức nhị phân tùy chỉnh được mã hóa bằng ECDH và AES. GHOSTKNIFE cũng chủ động xóa các nhật ký sự cố (crash logs) khỏi thiết bị để tránh bị phát hiện trong quá trình điều tra pháp y.
Chỉ số thỏa hiệp (Indicators of Compromise – IOCs) của GHOSTKNIFE:
- Tên miền lừa đảo:
snapshare[.]chat - Máy chủ C2 (ví dụ):
https://cybersecuritynews.com/command-and-controlc2-server/
GHOSTSABER: Công cụ Giám sát Thương mại Đa Năng
GHOSTSABER được triển khai bởi nhà cung cấp giải pháp giám sát thương mại PARS Defense trong các chiến dịch nhắm mục tiêu. Mã độc này hỗ trợ hơn 15 lệnh C2 khác nhau. Các lệnh này bao gồm liệt kê thiết bị, trích xuất tệp, thực thi truy vấn SQLite tùy ý và tải lên hình ảnh thu nhỏ.
Một số lệnh của GHOSTSABER, bao gồm ghi âm và định vị địa lý thời gian thực, chưa được triển khai đầy đủ trong chính implant JavaScript. Điều này cho thấy các module nhị phân bổ sung có thể được tải xuống trong thời gian chạy từ máy chủ C2.
GHOSTBLADE: Thu thập Dữ liệu Toàn diện cho Tình báo
GHOSTBLADE, được gán cho nhóm UNC6353, hoạt động như một công cụ khai thác dữ liệu toàn diện. Nó trích xuất dữ liệu từ iMessages, Telegram và WhatsApp, dữ liệu ví tiền điện tử, lịch sử và cookie của Safari, cơ sở dữ liệu Health, chuỗi khóa thiết bị, lịch sử vị trí và mật khẩu Wi-Fi đã lưu.
Không giống như hai họ mã độc khác, GHOSTBLADE không hoạt động bền bỉ hoặc hỗ trợ các lệnh backdoor tương tác. Tuy nhiên, phạm vi thu thập dữ liệu rộng lớn của nó khiến nó cực kỳ có giá trị cho các hoạt động thu thập thông tin tình báo. Đáng chú ý, mã thư viện của GHOSTBLADE chứa tham chiếu đến một hàm có tên startSandworm() vẫn chưa được triển khai — có thể là một tên mã cho một khai thác riêng biệt, sắp ra mắt.
Cơ chế Phân phối và Vận hành Tấn công
Các tác nhân đe dọa đã sử dụng nhiều phương pháp phân phối tinh vi để triển khai DarkSword.
Kỹ thuật Phân phối của UNC6748
Nhóm UNC6748 đã phân phối DarkSword thông qua một trang web mạo danh Snapchat. Họ sử dụng các bộ tải JavaScript bị làm rối mã (obfuscated) với các biện pháp bảo vệ chống gỡ lỗi và lấy dấu vân tay bộ nhớ phiên (session storage fingerprinting) để tránh lây nhiễm lại cùng một nạn nhân.
Nâng cấp An ninh Vận hành của PARS Defense
PARS Defense đã nâng cấp cơ chế phân phối của mình để mã hóa các giai đoạn khai thác bằng cách sử dụng trao đổi khóa ECDH giữa hạ tầng của kẻ tấn công và thiết bị của nạn nhân. Điều này thể hiện nhận thức cao hơn về an ninh vận hành.
Chiến thuật của UNC6353 trong các Chiến dịch Tấn công Mạng
Nhóm UNC6353, trước đây từng được liên kết với bộ công cụ khai thác iOS Coruna, đã nhúng các thẻ <script> độc hại vào các trang web bị xâm nhập. Các thẻ này tải DarkSword một cách âm thầm thông qua các iFrame ẩn. Một bình luận trong mã nguồn của UNC6353 được viết bằng tiếng Nga, và GTIG đã hợp tác để giảm thiểu chiến dịch đang diễn ra này tính đến tháng 3 năm 2026.
<!-- Example of embedded script tag (simplified) --><iframe src="data:text/html;base64,PHNjcmlwdD5ldmFsKGF0b2I...</script>" style="display:none;"></iframe>Biện pháp Phòng ngừa và Vá lỗi
GTIG đã báo cáo tất cả các lỗ hổng DarkSword cho Apple vào cuối năm 2025. Tất cả sáu lỗ hổng CVE liên quan đã được vá, phần lớn trước đó và phần còn lại với việc phát hành iOS 26.3. Để biết thêm chi tiết, bạn có thể tham khảo bài viết của Google Cloud Blog về DarkSword.
Google cũng đã thêm tất cả các tên miền phân phối DarkSword được xác định vào dịch vụ Duyệt web an toàn (Safe Browsing). Người dùng được khuyến nghị mạnh mẽ cập nhật lên phiên bản iOS mới nhất ngay lập tức. Nếu không có bản cập nhật, việc bật Chế độ Cách ly (Lockdown Mode) được khuyến nghị như một biện pháp bảo vệ bổ sung chống lại loại khai thác zero-day này.
Việc cập nhật các bản vá bảo mật là bước cơ bản để bảo vệ thiết bị khỏi các mối đe dọa mạng như DarkSword.
