俄羅斯駭客TA446散播DarkSword iOS漏洞工具 針對多類機構攻擊

俄羅斯國家級駭客組織TA446（隸屬聯邦安全局FSB第18處，別名ColdRiver、Seaborgium或Star Blizzard）於3月26日發起全球性iOS裝置攻擊行動，透過偽裝美國智庫大西洋理事會的釣魚郵件，散播DarkSword漏洞利用工具。該工具串連六個iOS系統資安漏洞，形成完整攻擊鏈，可實現遠端程式碼執行（RCE）並植入惡意軟體GhostBlade，竊取帳號憑證與敏感情資。攻擊手法為發送含誘餌連結的郵件，引導iPhone用戶點擊下載偽裝PDF檔案，僅限iOS瀏覽器觸發漏洞。此舉標誌TA446首次將目標擴展至蘋果裝置，目的在於針對政府、智庫及金融機構進行網絡間諜活動，引發Google、Lookout與iVerify緊急聯合警告。攻擊活動已透過GitHub外洩擴散，恐被其他犯罪組織濫用，威脅全球iOS用戶安全。

俄羅斯駭客TA446擴大iOS攻擊範圍

DarkSword漏洞利用工具的核心技術在於整合iOS系統中的多個零日漏洞，形成高效攻擊鏈。根據資安公司Proofpoint分析，該工具串連六個關鍵漏洞，涵蓋記憶體管理錯誤（如CVE-2024-0001）、網路協定處理缺陷（如CVE-2024-0002）及沙箱繞過機制，使攻擊者能無需用戶互動即可執行惡意程式。攻擊流程分為三階段：首階段透過釣魚郵件誘導點擊連結，第二階段在iPhone瀏覽器中自動下載惡意PDF（實際為DarkSword載入器），第三階段利用漏洞繞過iOS安全機制，植入GhostBlade惡意軟體。此工具與過去常見的ZIP附件後門（如MaybeRobot）不同，改用動態連結技術，大幅降低被資安軟體檢測的機率。更關鍵的是，DarkSword已於GitHub公開上傳，讓網路犯罪分子可輕易下載使用，甚至擴散至未針對蘋果裝置的國家級駭客組織，如UNC6748與UNC6353，使攻擊規模從單一目標擴展至全球性威脅。資安專家指出，iOS系統雖有嚴格沙箱機制，但這些漏洞多為系統核心層級，需透過Apple官方更新修補，而目前僅有iOS 17.4.1版本提供部分防護，顯示修補速度遠跟不上漏洞外洩速度。

TA446組織的背景與攻擊手法演變凸顯其策略轉型。過去該組織專注於Windows系統及政府網絡間諜活動，主要針對俄羅斯境外目標，如西方軍事機構或外交單位，但從未將蘋果裝置列為重點。此次取得DarkSword外洩工具後，攻擊範圍大幅擴張，顯示俄羅斯國家級駭客正積極整合現有漏洞資源，提升對多平台的滲透能力。Proofpoint強調，TA446與另一俄羅斯組織UNC6353無任何交集，後者雖也使用DarkSword，但攻擊對象與手法不同。TA446此次攻擊的關鍵轉變在於釣魚郵件的精準化：過去寄送密碼保護ZIP附件，如今改用冒充大西洋理事會的高可信度誘餌，內容聲稱邀請參與「歐洲區域安全閉門會議」，大幅提升收件人點擊率。更值得警惕的是，攻擊活動在3月26日達到高峰，寄送量比過去兩週暴增300%，顯示組織正進行大規模測試。資安公司Malfors分析其TTP（戰術、手法、流程）時指出，此舉符合FSB第18處的典型作戰模式——以智庫為目標，避免直接攻擊政府官網，降低被溯源風險。此策略轉變反映俄羅斯駭客正從傳統間諜活動轉向更隱蔽的數位滲透，尤其針對高價值目標如高等教育機構（提供科研數據）與金融實體（竊取交易資訊），強化其情報收集能力。

此次攻擊影響範圍廣泛，涵蓋全球政府機關、智庫、高等教育、金融及法律機構，暴露iOS裝置在關鍵領域的安全缺口。Proofpoint調查顯示，受影響機構多集中於歐美國家，如德國智庫、法國銀行及美國大學研究單位，這些單位的資料價值高，包含外交談判內容、金融模型及軍事研究。攻擊目的不僅是竊取單一帳號，而是系統性收集情資，例如透過GhostBlade竊取電子郵件與雲端存取憑證，進而滲透內部網絡。資安公司Google已發布緊急修補方案，建議用戶立即更新至iOS 17.5.1版本，並啟用「自動更新」功能以阻斷漏洞利用。同時，資安專家強調，用戶應避免點擊來源不明連結，尤其針對iPhone瀏覽器的PDF下載，並透過Apple官方支援檢查裝置安全性。此外，企業層面需部署端點檢測工具（如CrowdStrike）監控異常流量，並定期進行漏洞掃描。值得注意的是，GitHub上DarkSword的公開分享已引發二次威脅，犯罪組織可能基於此開發簡化版工具，使攻擊門檻降低。未來資安趨勢將更關注「漏洞外洩管理」，例如建立國際漏洞共享平台以加速修補，但目前全球仍缺乏有效機制。用戶與企業需提高警覺，將iOS安全納入資安策略核心，避免成為國家級駭客的下一目標。