俄羅斯駭客TA446透過網釣散布iOS漏洞利用套件DarkSword

威脅情資平臺Malfors於3月27日警告，有人冒充美國智庫大西洋理事會（Atlantic Council）寄送釣魚信，聲稱想邀請收件人參與與歐洲區域安全有關的閉門會議，然而實際上，寄件人真正的目的，是透過DarkSword套件發動遠端程式碼執行（RCE）攻擊，於受害裝置植入惡意軟體GhostBlade。雖然Malfors尚未掌握攻擊者身分，但根據戰術、手法、流程（TTP），他們認為可能是俄羅斯國家級駭客所為。

資安公司Proofpoint後續指出，攻擊者就是隸屬俄羅斯聯邦安全局（FSB）第18處的國家級駭客組織TA446，該團體也被稱為ColdRiver、Seaborgium，或是Star Blizzard。Proofpoint強調，這些駭客過往未曾將蘋果裝置或iCloud帳號當作目標，這次該組織取得外流的DarkSword，將攻擊範圍延伸到iOS行動裝置。值得留意的是，在先前Google、Lookout，iVerify的調查報告裡，不約而同提及另一個俄羅斯國家級駭客UNC6353使用此工具包的情形，不過Proofpoint強調，TA446與UNC6353完全沒有交集。

Proofpoint於3月26日看到聲稱大西洋理事會的巨量釣魚信，駭客疑似透過被入侵的電子郵件信箱寄送。該公司表示，這些駭客在過去兩週寄送釣魚信的數量顯著高於過往，26日的活動也不例外，但不同的是，原本駭客挾帶受密碼保護的ZIP檔附件，散布後門程式MaybeRobot，這次他們透過連結，將收信人重新導向看似無害的誘餌PDF檔案，而且，只有透過iPhone執行的瀏覽器會被導向DarkSword。

探究TA446這波攻擊行動的目的，Proofpoint指出他們並未直接看到駭客傳送漏洞利用工具，不過，很有可能藉此搜刮憑證與收集情資。再者，研究人員提及這波攻擊的範圍非常廣泛，涵蓋政府機關、智庫、高等教育機構、金融機構，以及法律實體。這代表TA446取得該工具包後，就伺機攻擊更為廣泛的企業組織。