Новый эксплойт для iPhone DarkSword использовали против Украины

Новый эксплойт для iPhone DarkSword использовали против Украины

Новый эксплойт для iPhone DarkSword использовали против Украины

Исследователи из iVerify, Google и Lookout рассказали о новом наборе эксплойтов для iPhone под названием DarkSword. По данным специалистов, он использовался не только в шпионских операциях против Украины, но и в атаках, которые связывают с коммерческими поставщиками шпионского софта.

Это уже вторая крупная платформа такого класса, выявленная в марте: раньше специалисты описали набор Coruna, а теперь выяснилось, что у истории есть продолжение.

Главная особенность в том, что речь идёт не об одной уязвимости, а о цепочке эксплойтов, которая ведёт к фактически полному захвату устройства. В случае DarkSword атакующий сначала использует баги Safari и WebKit для удалённого выполнения кода, затем выходит из песочницы браузера и добирается до ядра iOS, чтобы закрепить контроль и запустить финальную нагрузку.

Исследователи описывают эту цепочку как атаку с минимальным участием пользователя, а в атаках вида watering hole она вообще может сработать после обычного захода на заражённый легитимный сайт.

По данным Google и партнёров, набор использовала группа UNC6353, которую связывают с российской шпионской активностью против Украины. Атаки шли через вредоносные iframe, внедрённые, в частности, на сайт News of Donbas и на сайт Седьмого апелляционного административного суда в Виннице. При этом Google также нашла следы использования DarkSword коммерческими поставщиками шпионского софта.

Сам вредонос после успешного взлома умеет очень многое. Согласно описанию Lookout, он собирает пароли, фотографии, сообщения из WhatsApp (принадлежит признанной экстремистской организацией корпорации Meta, запрещенной в России) и Telegram, СМС, контакты, историю звонков, данные браузера, пароли от сетей Wi-Fi, записи из календаря и заметок, сведения об аккаунтах, а также информацию из криптокошельков.

И это как раз один из тревожных моментов: если Coruna в исполнении UNC6353 не был нацелен на крипту, то DarkSword уже явно смотрит и в сторону финансовой кражи, а не только классического шпионажа.

Отдельно исследователи отмечают, что DarkSword тесно связан с Coruna по инфраструктуре и, вероятно, является частью того же арсенала.

Хорошая новость в том, что Apple уже закрыла все уязвимости, задействованные в DarkSword и Coruna. Исследователи советуют обновляться как минимум до iOS 18.7.6 или iOS 26.3.1 — именно эти версии, по их данным, содержат все нужные патчи. Но плохая новость в том, что на уязвимых версиях всё ещё может оставаться очень много устройств: iVerify оценивает долю потенциально затронутых iPhone в 14,2%, или примерно 221,5 млн устройств, а при более широком предположении — почти в 19%.

Напомним, Apple начала разворачивать новый формат небольших фоновых обновлений безопасности для iPhone, iPad и macOS. Свежий патч закрывает уязвимость в WebKit, движке Safari.

Кибератаки на российскую промышленность выросли почти на треть

Российскую промышленность в 2026 году продолжают активно проверять на прочность. По данным «Лаборатории Касперского», в первом полугодии число обнаруженных и предотвращённых ИБ-инцидентов в отрасли выросло на 31% по сравнению с тем же периодом 2025 года. Особенно досталось транспортно-логистическому сектору.

Там количество атак подскочило сразу на 75%, а инцидентов высокой критичности стало больше на 30%.

Более того, доля серьёзных инцидентов в логистике оказалась почти на 50% выше среднего уровня по России. Если где-то киберугрозы стучат в дверь, то в логистике они уже пытаются вынести её плечом.

Среди главных угроз для промышленности остаются шифровальщики. По данным Kaspersky ICS CERT, в первом квартале 2026 года доля компьютеров, столкнувшихся с такими вредоносными программами, выросла на 97% год к году.

Также заметно прибавили шпионские программы, бэкдоры и кейлоггеры: их блокировали на 50% чаще. Отдельно эксперты отмечают вредоносы для AutoCAD — их доля составила 16%.

Злоумышленники атакуют промышленность не только ради выкупа. В логистике кибервзлом может закончиться вполне физической кражей грузов: преступники пытаются скомпрометировать участников цепочки, искать инсайдеров, фишить сотрудников и использовать уязвимости IoT-устройств на складах и транспорте.

Ещё одно направление — кибершпионаж. У предприятий пытаются украсть технологическую документацию, данные о мощностях, результаты НИОКР и другую информацию, которую явно не выкладывают в презентациях для партнёров.

Растут и риски для OT-систем, которые хотя бы эпизодически имеют доступ к интернету. В первом квартале доля компьютеров АСУ ТП, где обнаружили угрозы из сети, выросла на 6%.

ИИ тоже уже в деле. Одни группировки используют чат-ботов для переговоров о выкупе, другие маскируют вредоносы под ИИ-инструменты или применяют LLM при разработке кода. Промышленность цифровизуется, и атакующие, увы, тоже не сидят на кнопочных телефонах.

RSS: Новости на портале Anti-Malware.ru