圈小蛙
3月18日,谷歌与安全公司iVerify、Lookout联合披露了一场针对乌克兰 iPhone 用户的精准网络攻击。一个代号为 UNC6353 的组织(疑似与俄罗斯政府有关)正利用名为 Darksword 的新型黑客工具包,通过零点击或诱导手段窃取受害者照片、加密货币钱包及社交软件数据。该工具不追求长期潜伏,而是“偷完就跑”,极具威胁性。
俄罗斯背景黑客团伙UNC6353浮出水面
据报道,谷歌威胁分析小组(TAG)与移动安全专家在近期监测到了一系列异常活动。这次行动的背后指向一个被标记为 UNC6353 的黑客组织。研究人员认为,该组织的行动模式与俄罗斯政府资助的网军高度重合。
与以往那种追求在系统内长期潜伏(Persistence)的间谍软件不同,UNC6353 展现出了一种极具攻击性的“掠夺式”风格。他们并不在乎是否能长期控制你的手机,他们的目标非常明确:进入系统、搜刮数据、立刻撤离。
解析Darksword工具包:专为窃密而生的利刃
这次攻击的核心是一套被称为 Darksword 的定制化黑客工具。iVerify 和 Lookout 的安全专家在深入分析后发现,Darksword 的模块化程度极高,它针对 iOS 系统的防御机制进行了专门的绕过设计。
我梳理了一下 Darksword 的主要攻击逻辑:
- 全方位数据收割:一旦 Darksword 成功入侵 iPhone,它会迅速扫描并提取照片、浏览器历史记录、SMS 短信,以及 WhatsApp 和 Telegram 的加密聊天记录。
- 加密货币与凭据盯防:除了个人隐私,该工具对 Keychains 中的存储凭据表现出极高的兴趣,目标直指用户的加密货币钱包和各类账户密码。
- “阅后即焚”式攻击:这是 Darksword 最棘手的地方。它在完成数据回传后,会触发自毁机制或清理日志,旨在让安全审计人员无迹可寻。这种非持续性的攻击策略有效避开了许多基于系统稳定性的安全检测手段。
乌克兰 iPhone 用户成为精准打击目标
这次攻击的地理属性非常明显。黑客通过特定的钓鱼链接或受损的本地网站进行分发,受害者多为乌克兰境内的政府人员、社会活动家或关键基础设施从业者。
谷歌的研究人员指出,尽管苹果一直在加固 iOS 的安全性,但面对这种由国家级背景支持的、利用零日漏洞(0-day)或已知漏洞组合拳的攻击,普通用户依然面临巨大风险。目前,iVerify 已经在其安全平台中集成了针对 Darksword 特征码的检测能力,建议相关地区的 iOS 用户立即更新至最新的系统版本,并开启“锁定模式”(Lockdown Mode)以应对高强度威胁。
这场“数字暗箭”的曝光,再次提醒我们移动端的安全性绝非高枕无忧。尤其是这种“快进快出”的攻击手法,可能会成为未来定向网络攻击的新趋势。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️