Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

TA446 Deploys DarkSword iOS Exploit Kit in Targeted Spear-Phishing Campaign

1 minute de lecture

Mis à jour :

Offensive cyber-espionnage via le kit d’exploitation iOS DarkSword

Le groupe de menace étatique russe TA446 (alias Callisto/Star Blizzard) a étendu ses capacités d’espionnage en intégrant le kit d’exploitation DarkSword à ses campagnes de spear-phishing. Initialement spécialisé dans le vol d’identifiants, le groupe cible désormais les appareils iOS via des courriels usurpant l’identité de l’Atlantic Council.

Points clés :

  • Mode opératoire : Utilisation de serveurs capables de filtrer les visiteurs pour rediriger uniquement les utilisateurs d’iPhone vers le kit d’exploitation.
  • Diversification : En plus de DarkSword, le groupe utilise le logiciel malveillant GHOSTBLADE et la porte dérobée MAYBEROBOT (via des archives ZIP protégées par mot de passe).
  • Menace démocratisée : La fuite du code source de DarkSword sur GitHub permet désormais à des acteurs moins sophistiqués d’utiliser des exploits auparavant réservés aux États, remettant en cause la sécurité perçue des terminaux Apple.
  • Cibles : Campagnes élargies visant des gouvernements, des groupes de réflexion (think tanks), des établissements d’enseignement supérieur, ainsi que les secteurs financier et juridique.

Vulnérabilités :

  • Le kit DarkSword exploite six failles iOS permettant notamment l’exécution de code à distance (RCE) et le contournement des codes d’authentification de pointeur (PAC). Les CVE spécifiques ne sont pas listées individuellement dans l’article, mais le kit est identifié comme exploitant une chaîne de vulnérabilités critiques ciblant les versions antérieures d’iOS et iPadOS.

Recommandations :

  • Mise à jour immédiate : Installer sans délai les dernières mises à jour de sécurité d’Apple. La firme a d’ailleurs commencé à envoyer des alertes sur l’écran de verrouillage des appareils vulnérables.
  • Vigilance accrue : Se méfier des courriels non sollicités, même s’ils semblent provenir d’organisations légitimes ou de contacts connus, en particulier ceux contenant des invitations à des discussions ou des liens suspects.
  • Gestion des pièces jointes : Faire preuve d’une prudence extrême vis-à-vis des fichiers compressés (ZIP) protégés par mot de passe, souvent utilisés pour contourner l’analyse des passerelles de sécurité.

Source

Vous pourriez aimer