[讨论]iOS DarkSword 漏洞深度分析报告

发现时间: 2025年11月（活跃期）
公开披露: 2026年3月
分析来源: Google GTIG、iVerify、Lookout、MalwarebytesDarkSword 是迄今为止发现的最复杂的 iOS 全链路漏洞利用工具包之一。它通过串联 6 个漏洞（其中 3 个在被发现时为零日漏洞）实现对 iPhone 的完整控制，整个攻击链完全用 JavaScript 编写。DarkSword 是继 Coruna 之后，由同一威胁行为者（UNC6353）使用的第二个 iOS 漏洞工具包，两者共用基础设施。[!IMPORTANT]
CVE-2026-20700 的年份编号为 2026，意味着其被发现时间处于未来（相对于漏洞利用时间），说明该漏洞在公开数据库中是超前录入的，或漏洞分配流程出现了延迟。[!NOTE]
两个工具包覆盖了 iOS 13 到 18.7 的完整版本范围，形成了针对 iPhone 的"全版本覆盖"攻击能力。报告生成时间: 2026-03-20 | 数据截止: 2026年3月公开披露信息
用户访问恶意网页（含嵌入 iframe）
        │
        ▼
┌─────────────────────────────────────┐
│ Stage 1: 远程代码执行（RCE）         │
│  CVE-2025-31277 / CVE-2025-43529    │
│  JavaScriptCore JIT 内存损坏        │
│  → SafariWebContent 进程中执行代码  │
└────────────────┬────────────────────┘
                 │
                 ▼
┌─────────────────────────────────────┐
│ Stage 2: 沙盒逃逸                    │
│  CVE-2025-14174（ANGLE 内存损坏）   │
│  → 逃出 WebContent 沙盒             │
│  → 注入 mediaplaybackd 系统守护进程 │
└────────────────┬────────────────────┘
                 │
                 ▼
┌─────────────────────────────────────┐
│ Stage 3: PAC 绕过（dyld）           │
│  CVE-2026-20700                     │
│  → 绕过 Pointer Auth Code 保护      │
│  → 用户态任意函数调用               │
└────────────────┬────────────────────┘
                 │
                 ▼
┌─────────────────────────────────────┐
│ Stage 4: 内核权限提升               │
│  CVE-2025-43510（内存管理漏洞）     │
│  CVE-2025-43520（内核内存损坏）     │
│  → 建立内核读写原语                 │
│  → 完全控制内核                     │
└────────────────┬────────────────────┘
                 │
                 ▼
┌─────────────────────────────────────┐
│ Stage 5: Payload 部署               │
│  GHOSTBLADE / GHOSTKNIFE / GHOSTSABER│
│  → 数据窃取 + C2 外泄               │
└─────────────────────────────────────┘攻击者 → 入侵合法网站（政府/新闻类）
              │
              ▼
        嵌入恶意 iframe
              │
              ▼
     受害者 Safari 访问网站
              │
              ▼
         触发漏洞链├── 工具链: Coruna + DarkSword（双工具包）├── Payload: GHOSTBLADE├── 目标地区: 乌克兰（政府、新闻机构）├── 战术: 水坑攻击、快速数据外泄└── 关联: 与 FSB/GRU 相关组织存在基础设施重叠├── 性质: 商业间谍软件售卖商（类 NSO Group）
├── Payload: GHOSTSABER
├── 客户: 政府机构（土耳其、马来西亚当局）
└── 工具: 专业级 iOS 漏洞利用链├── Payload: GHOSTKNIFE├── 目标地区: 沙特阿拉伯└── 性质: 待进一步研究1. 升级 iOS 至以下版本之一：
   ✅ iOS 18.7.6（推荐）
   ✅ iOS 26.3.1（推荐）
   最低要求: iOS 18.7.2 或 26.1（修复关键 CVE）2. 高风险用户启用「隐身模式」(Lockdown Mode):
   设置 → 隐私与安全性 → 隐身模式2025年11月  → DarkSword 开始活跃（最早观测到）2026年初    → iVerify / Lookout / Google GTIG 检测到异常2026年3月   → Apple 发布补丁（iOS 18.7.2, 26.1）2026年3月   → Google、iVerify、Lookout 公开披露2026年3月   → iOS 18.7.6 / 26.3.1 发布（完整修复）发现时间: 2025年11月（活跃期）
公开披露: 2026年3月
分析来源: Google GTIG、iVerify、Lookout、Malwarebytes[!IMPORTANT]
CVE-2026-20700 的年份编号为 2026，意味着其被发现时间处于未来（相对于漏洞利用时间），说明该漏洞在公开数据库中是超前录入的，或漏洞分配流程出现了延迟。[!NOTE]
两个工具包覆盖了 iOS 13 到 18.7 的完整版本范围，形成了针对 iPhone 的"全版本覆盖"攻击能力。CVE组件类型影响版本修复版本CVE-2025-31277JavaScriptCore (WebKit)JIT 内存损坏 → RCEiOS < 18.6iOS 18.6CVE-2025-43529JavaScriptCore (WebKit)JIT 内存损坏 → RCEiOS < 18.7.2iO

...(已截断)

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-290421.htm

tql

tql

tql

tql

感谢分享

学习下

study