DarkSword iOS Sömürü Kiti: 6 Güvenlik Açığı ve 3 Sıfır Günle Tam Cihaz Ele Geçirme

Anasayfa » DarkSword iOS Sömürü Kiti: 6 Güvenlik Açığı ve 3 Sıfır Günle Tam Cihaz Ele Geçirme
APT, Mobil Güvenlik, Zafiyetler
Mart 19, 2026Mart 19, 2026Tarafından Cybernews.TR
0
DarkSword iOS Sömürü Kiti: 6 Güvenlik Açığı ve 3 Sıfır Günle Tam Cihaz Ele Geçirme

Saldırının Genel Çerçevesi

Son analizler, DarkSword kod adlı gelişmiş bir iOS sömürü kitinin Suudi Arabistan, Türkiye, Malezya ve Ukrayna’daki hedeflere yönelik kullanıldığını ortaya koydu. Bu kit, iOS 18.4 ile 18.7 arasındaki iPhone modellerini hedef alıyor ve özellikle Ukrayna’da şüpheli Rus destekli UNC6353 grubunun saldırılarında kullanıldı. DarkSword, JavaScript tabanlı tam bir sömürü zinciri ile cihazdan kimlik bilgileri, kripto cüzdan verileri ve diğer hassas bilgileri saniyeler içinde dışarı aktarıyor.

Saldırı Zinciri ve Teknik Detaylar

DarkSword, Safari üzerinden ziyaret edilen enfekte edilmiş web sayfalarında iFrame aracılığıyla çalışmaya başlıyor. Kit, WebContent sandbox’ını aşarak mediaplaybackd sistem daemon’una WebGPU üzerinden kod enjekte ediyor. Bu sayede GHOSTBLADE adlı veri madencisi kötü amaçlı yazılım ayrıcalıklı süreçlere erişim sağlıyor. Saldırı zinciri, aşağıdaki CVE kodlarıyla tanımlanan 6 güvenlik açığını kullanıyor:

  • CVE-2025-31277: JavaScriptCore’da bellek bozulması (18.6 sürümünde yamalandı)
  • CVE-2026-20700: dyld’de Pointer Authentication Code (PAC) atlatma (26.3 sürümünde yamalandı)
  • CVE-2025-43529: JavaScriptCore’da bellek bozulması (18.7.3 ve 26.2 sürümlerinde yamalandı)
  • CVE-2025-14174: ANGLE’da bellek bozulması (18.7.3 ve 26.2 sürümlerinde yamalandı)
  • CVE-2025-43510: iOS çekirdeğinde bellek yönetimi açığı (18.7.2 ve 26.1 sürümlerinde yamalandı)
  • CVE-2025-43520: iOS çekirdeğinde bellek bozulması (18.7.2 ve 26.1 sürümlerinde yamalandı)

Bu açılardan üçü (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174) sıfır gün olarak kullanıldı. Saldırı, önce JavaScriptCore JIT açıkları ile uzaktan kod yürütme sağlıyor, ardından GPU süreci ve mediaplaybackd üzerinden sandbox kaçışları gerçekleştiriyor. Son aşamada çekirdek ayrıcalık yükseltme açığı kullanılarak tam kontrol elde ediliyor.

Hedeflenen Veriler ve Kötü Amaçlı Altyapı

DarkSword, e-posta, iCloud Drive dosyaları, SMS, Safari geçmişi, kripto para cüzdanları, kullanıcı adı ve şifreler, fotoğraflar, çağrı geçmişi, Wi-Fi şifreleri, konum bilgileri, takvim ve mesajlaşma uygulamalarından (Telegram, WhatsApp) veri topluyor. Kötü amaçlı altyapı, ele geçirilmiş web sitelerine JavaScript çerçevesi enjekte edilerek hedef cihazların parmak izi alınması ve uygun hedeflere yönlendirilmesi şeklinde işliyor.

Tehdit Aktörleri ve Kampanyalar

DarkSword, UNC6353 adlı şüpheli Rus destekli grubun yanı sıra Suudi Arabistan’da UNC6748 ve Türkiye merkezli ticari gözetim sağlayıcısı PARS Defense tarafından da kullanıldı. Bu aktörler, DarkSword’u farklı varyantlarla Snapchat temalı ve diğer temalı web siteleri üzerinden dağıttı. Özellikle PARS Defense, GHOSTSABER adlı JavaScript arka kapısını kullanarak cihaz ve hesap sayımı, dosya listeleme ve keyfi kod yürütme işlevleri sağladı.

Siber Güvenlik Ekipleri İçin Öneriler

  • iOS cihazlarda 18.7.3 ve üzeri sürümlere hızlıca güncelleme yapın.
  • Safari ve WebContent sandbox aktivitelerini detaylı loglayarak anormal davranışları izleyin.
  • EDR çözümlerinde JavaScriptCore ve mediaplaybackd süreçlerine yönelik davranış bazlı tespit kuralları oluşturun.
  • Web trafiğinde iFrame ve JavaScript enjeksiyonlarını tespit etmek için SIEM sistemlerinde özel uyarılar kurun.
  • Ağ segmentasyonu ile kritik cihazların internete doğrudan erişimini sınırlandırın.
  • MFA ve IAM politikaları ile kullanıcı hesaplarının güvenliğini artırın.
  • Olay müdahale planlarında mobil cihazlara yönelik sıfır gün sömürü senaryolarını dahil edin.
  • Phishing ve watering hole saldırılarına karşı kullanıcı farkındalığını artıracak eğitimler düzenleyin.

Teknik Özet

  • Kullanılan zararlılar: DarkSword, GHOSTBLADE, GHOSTKNIFE, GHOSTSABER
  • Hedef Bölgeler: Suudi Arabistan, Türkiye, Malezya, Ukrayna
  • Kullanılan Zafiyetler: CVE-2025-31277, CVE-2026-20700, CVE-2025-43529, CVE-2025-14174, CVE-2025-43510, CVE-2025-43520
  • Saldırı Zinciri: Web tabanlı iFrame ile başlangıç → JavaScriptCore JIT açığı ile RCE → GPU süreci ve mediaplaybackd üzerinden sandbox kaçışı → çekirdek ayrıcalık yükseltme → veri toplama ve dışa aktarma
  • Önerilen Savunma: Güncel iOS yamaları, davranış tabanlı EDR, ağ segmentasyonu, MFA, kapsamlı loglama ve olay müdahale hazırlığı
, , , , , , ,