iOS DarkSword 漏洞深度分析报告
发现时间: 2025年11月(活跃期)
公开披露: 2026年3月
分析来源: Google GTIG、iVerify、Lookout、Malwarebytes
一、概述
DarkSword 是迄今为止发现的最复杂的 iOS 全链路漏洞利用工具包之一。它通过串联 6 个漏洞(其中 3 个在被发现时为零日漏洞)实现对 iPhone 的完整控制,整个攻击链完全用 JavaScript 编写。
DarkSword 是继 Coruna 之后,由同一威胁行为者(UNC6353)使用的第二个 iOS 漏洞工具包,两者共用基础设施。
影响规模
- 受影响 iOS 版本: iOS 18.4 ~ 18.7
- 潜在受影响设备: 约 2.215 亿部(运行 iOS 18.4–18.6.2 的设备)
- 若结合 Coruna,合计约 2.96 亿部 iPhone 处于风险中(iOS 13 ~ 18.6.2)
二、漏洞利用链(6-CVE 链)
用户访问恶意网页(含嵌入 iframe)
│
▼
┌─────────────────────────────────────┐
│ Stage 1: 远程代码执行(RCE) │
│ CVE-2025-31277 / CVE-2025-43529 │
│ JavaScriptCore JIT 内存损坏 │
│ → SafariWebContent 进程中执行代码 │
└────────────────┬────────────────────┘
│
▼
┌─────────────────────────────────────┐
│ Stage 2: 沙盒逃逸 │
│ CVE-2025-14174(ANGLE 内存损坏) │
│ → 逃出 WebContent 沙盒 │
│ → 注入 mediaplaybackd 系统守护进程 │
└────────────────┬────────────────────┘
│
▼
┌─────────────────────────────────────┐
│ Stage 3: PAC 绕过(dyld) │
│ CVE-2026-20700 │
│ → 绕过 Pointer Auth Code 保护 │
│ → 用户态任意函数调用 │
└────────────────┬────────────────────┘
│
▼
┌─────────────────────────────────────┐
│ Stage 4: 内核权限提升 │
│ CVE-2025-43510(内存管理漏洞) │
│ CVE-2025-43520(内核内存损坏) │
│ → 建立内核读写原语 │
│ → 完全控制内核 │
└────────────────┬────────────────────┘
│
▼
┌─────────────────────────────────────┐
│ Stage 5: Payload 部署 │
│ GHOSTBLADE / GHOSTKNIFE / GHOSTSABER│
│ → 数据窃取 + C2 外泄 │
└─────────────────────────────────────┘
三、CVE 详细信息
| CVE | 组件 | 类型 | 影响版本 | 修复版本 |
|---|---|---|---|---|
| CVE-2025-31277 | JavaScriptCore (WebKit) | JIT 内存损坏 → RCE | iOS < 18.6 | iOS 18.6 |
| CVE-2025-43529 | JavaScriptCore (WebKit) | JIT 内存损坏 → RCE | iOS < 18.7.2 | iOS 18.7.2 |
| CVE-2025-14174 | ANGLE (WebGPU) | 内存损坏 → 沙盒逃逸 | iOS < 18.6 | iOS 18.6 |
| CVE-2026-20700 | dyld (动态链接器) | PAC 绕过 → 任意代码执行 | iOS < 18.7.2 | iOS 18.7.2 / 26.1 |
| CVE-2025-43510 | iOS 内核 | 内存管理漏洞 → 任意内存读写 | iOS < 18.7.2 | iOS 18.7.2 / 26.1 |
| CVE-2025-43520 | iOS 内核 | 内存损坏 → 内核权限提升 | iOS < 18.7.2 | iOS 18.7.2 / 26.1 |
[!IMPORTANT]
CVE-2026-20700 的年份编号为 2026,意味着其被发现时间处于未来(相对于漏洞利用时间),说明该漏洞在公开数据库中是超前录入的,或漏洞分配流程出现了延迟。
四、攻击入口:水坑攻击(Watering Hole)
攻击者 → 入侵合法网站(政府/新闻类)
│
▼
嵌入恶意 iframe
│
▼
受害者 Safari 访问网站
│
▼
触发漏洞链
- 攻击向量: Safari 浏览器(无需用户交互,访问即触发)
- 特点: “One-click” 攻击(仅需访问页面)
- 已入侵网站类型: 乌克兰政府网站、新闻媒体网站
五、Payload 家族分析
GHOSTBLADE(幽灵刃)
- 使用组织: UNC6353(疑似俄罗斯国家级 APT)
- 攻击目标: 乌克兰
- 类型: JavaScript 信息窃取器
- 策略: “Hit-and-Run”(快速抓取后清除痕迹)
- 可窃取数据:
- SMS / iMessage 数据库
- 通话记录、通讯录
- Safari 浏览记录、Cookies
- 备忘录、日历、健康数据
- 照片元数据、iCloud Drive 文件
- Wi-Fi 密码配置文件
- SIM 卡信息
- 已安装应用列表
- 邮件索引
- 加密货币钱包数据
- 账号凭证(密码)
GHOSTSABER(幽灵剑)
- 使用组织: PARS Defense(商业监控供应商)
- 攻击目标: 土耳其、马来西亚
- 类型: 后门程序
- 特点: 具备持久化能力
GHOSTKNIFE(幽灵匕)
- 使用组织: UNC6748
- 攻击目标: 沙特阿拉伯
- 类型: 恶意软件(类型待详细披露)
六、威胁行为者画像
UNC6353(疑似俄罗斯 APT)
├── 工具链: Coruna + DarkSword(双工具包)
├── Payload: GHOSTBLADE
├── 目标地区: 乌克兰(政府、新闻机构)
├── 战术: 水坑攻击、快速数据外泄
└── 关联: 与 FSB/GRU 相关组织存在基础设施重叠
PARS Defense(商业监控供应商)
├── 性质: 商业间谍软件售卖商(类 NSO Group)
├── Payload: GHOSTSABER
├── 客户: 政府机构(土耳其、马来西亚当局)
└── 工具: 专业级 iOS 漏洞利用链
UNC6748
├── Payload: GHOSTKNIFE
├── 目标地区: 沙特阿拉伯
└── 性质: 待进一步研究
七、与 Coruna 的关联
| 对比维度 | Coruna | DarkSword |
|---|---|---|
| 目标 iOS | iOS 16–18.3 | iOS 18.4–18.7 |
| 漏洞数量 | ~5 个 | 6 个 |
| 编写语言 | JavaScript | JavaScript |
| 使用者 | UNC6353 | UNC6353 + 其他 |
| 攻击向量 | Safari 水坑 | Safari 水坑 |
| 发现时间 | 早于 DarkSword | 2025年11月起活跃 |
[!NOTE]
两个工具包覆盖了 iOS 13 到 18.7 的完整版本范围,形成了针对 iPhone 的"全版本覆盖"攻击能力。
八、防护建议
立即处理
1. 升级 iOS 至以下版本之一:
✅ iOS 18.7.6(推荐)
✅ iOS 26.3.1(推荐)
最低要求: iOS 18.7.2 或 26.1(修复关键 CVE)
2. 高风险用户启用「隐身模式」(Lockdown Mode):
设置 → 隐私与安全性 → 隐身模式
检测是否被攻击
- 使用 iVerify 应用进行设备扫描
- 检查 Safari 是否有异常历史记录
- 使用 Lookout 等移动安全应用
组织层面
- 高风险人员(政府官员、记者、活动人士)强制启用隐身模式
- 部署 MDM 移动设备管理解决方案
- 监控异常流量(大量数据外送)
九、时间线
2025年11月 → DarkSword 开始活跃(最早观测到)
2026年初 → iVerify / Lookout / Google GTIG 检测到异常
2026年3月 → Apple 发布补丁(iOS 18.7.2, 26.1)
2026年3月 → Google、iVerify、Lookout 公开披露
2026年3月 → iOS 18.7.6 / 26.3.1 发布(完整修复)
十、参考资料
- Google GTIG 报告
- The Hacker News 报道
- iVerify 研究
- Lookout 技术分析
- Malwarebytes 用户指南
- Bleeping Computer 报道
- Dark Reading
报告生成时间: 2026-03-20 | 数据截止: 2026年3月公开披露信息