DarkSword: سلسلة من 6 ثغرات iOS تجبر Apple على تصحيح طارئ

زيارة موقع واحدة تكفي

زيارة موقع روتينية. هذا كل ما يلزم. تسلسل مجموعة استغلال DarkSword ست ثغرات تشمل WebKit وSafari والمُحمِّل الديناميكي ونواة iOS لتحقيق اختراق كامل للجهاز من تفاعل متصفح واحد. لا نقرات مطلوبة بعد تحميل الصفحة الأولي. لا تفاعل من المستخدم بعد الوصول إلى موقع مخترق.

وُثقت سلسلة الاستغلال علنياً في مارس 2026 من قبل Threat Intelligence Group التابعة لـGoogle بالتعاون مع iVerify وLookout، مما أجبر Apple على دورة تصحيحات طارئة نادرة، موسعة في النهاية الإصلاحات إلى iOS 18.7.7 بتاريخ 1 أبريل 2026. أكدت Google أن المجموعة اعتمدها عدة فاعلين تهديد، بما فيهم بائع مراقبة تجاري تركي، ومجموعة تهديد تحمل التصنيف UNC6748، ومجموعة تجسس روسية مشتبه بها تُتبع باسم UNC6353.

الثغرات الست

تأتي قوة DarkSword من تسلسل ست ثغرات متميزة في مسار هجوم سلس. ثلاث منها ثغرات يوم صفر.

CVE-2025-31277 — فساد ذاكرة JavaScriptCore. نقطة الدخول. خلل في فساد الذاكرة في JavaScriptCore، محرك JavaScript الذي يقوم عليه جميع متصفحات WebKit على iOS. زيارة صفحة ويب خبيثة تطلق تنفيذ الشفرة الأولي داخل صندوق رمل المتصفح.

CVE-2025-43529 — فساد ذاكرة JavaScriptCore. خلل ثانٍ في JavaScriptCore يُستخدم لتثبيت الاستغلال وتحقيق تنفيذ شفرة موثوق. وجود خللين منفصلين في JavaScriptCore يشير إلى معرفة عميقة لدى المطورين بالبنية الداخلية لـWebKit.

CVE-2025-14174 — فساد ذاكرة ANGLE. خلل في ANGLE (Almost Native Graphics Layer Engine)، طبقة تجريد الرسوميات المستخدمة من WebKit للعرض المسرّع بـGPU، مما يوفر مساراً نحو مكونات النظام الأدنى مستوى.

CVE-2026-20700 — تجاوز PAC في dyld. المحور الحاسم. هذه الثغرة في dyld، المُحمِّل الديناميكي لـiOS، تتجاوز Pointer Authentication Codes من Apple — حماية عتادية أُدخلت مع شريحة A12 عام 2018 تحديداً لمنع سلاسل الاستغلال مثل DarkSword.

CVE-2025-43510 — إدارة ذاكرة نواة iOS. خلل في النواة يتيح تصعيد الصلاحيات من مساحة المستخدم إلى مساحة النواة.

CVE-2025-43520 — فساد ذاكرة نواة iOS. الحلقة الأخيرة لتحقيق وصول مستمر على مستوى النواة والتحكم الكامل بالجهاز.

من المتصفح إلى الاختراق الكامل

ينفَّذ الهجوم في ثوانٍ. تحقق ثغرات JavaScriptCore تنفيذ الشفرة داخل صندوق رمل Safari. خلل ANGLE يهرب من صندوق الرمل إلى مساحة المستخدم. ثغرة dyld تهزم حماية PAC العتادية. ثغرتا النواة تصعدان إلى وصول ring 0. مع التحكم على مستوى النواة، يستطيع المهاجمون تثبيت زرعات مستمرة وتسريب البيانات وتفعيل الميكروفونات والكاميرات واعتراض الاتصالات المشفرة.

لا ترى الضحية شيئاً غير عادي — ربما تأخر طفيف في تحميل الصفحة.

ثلاث مجموعات تهديد، أربع دول

وثق Threat Intelligence من Google أن PARS Defense، بائع المراقبة التجاري التركي، يستخدم DarkSword منذ نوفمبر 2025 على الأقل في حملات تستهدف مستخدمين في تركيا وماليزيا. طبقت PARS أمناً تشغيلياً متطوراً يشمل تشفير ECDH وAES بين الخادم والضحية. الحمولة المسلَّمة كانت GHOSTSABER، باب خلفي JavaScript قادر على جرد الأجهزة وقائمة الملفات وتسريب البيانات وتنفيذ شفرة عشوائية.

حددت Google ثلاث عائلات برمجيات خبيثة متميزة نُشرت بعد اختراق DarkSword: GHOSTBLADE وGHOSTKNIFE وGHOSTSABER — كل منها مرتبطة بفاعل تهديد مختلف. رُصدت حملات تستهدف السعودية وتركيا وماليزيا وأوكرانيا.

أدى تسريب شفرة إثبات المفهوم في نهاية المطاف على GitHub إلى تسريع الانتشار، مما يعرض التقنية محتملاً لمهاجمين أقل تطوراً. ما كان حصرياً لبائعي المراقبة يصبح متاحاً لمجرمي الإنترنت.

استجابة Apple الطارئة

تكشفت استجابة Apple على مراحل. تلقى مستخدمو iOS 26 التصحيحات عبر دورة التحديث العادية iOS 26.3. بالنسبة لمئات الملايين من الأجهزة التي تعمل بـiOS 18، أصدرت Apple أولاً iOS 18.7.7 في 24 مارس لمجموعة محدودة من الأجهزة القديمة (iPhone XS وXR وiPad الجيل السابع)، ثم وسعت التوفر لجميع الأجهزة المدعومة في 1 أبريل 2026.

يبرز الجدول الزمني للتصحيح الممتد عدة أسابيع تحدياً هيكلياً: تنوع إصدارات الأجهزة وبطء اعتماد تحديثات نظام التشغيل يخلقان ذيلاً طويلاً من الأجهزة المعرضة. يستهدف DarkSword تحديداً iOS 18.4 إلى 18.7، وهي إصدارات تعمل على غالبية أجهزة iPhone النشطة عالمياً.

تجاوز PAC يغير المعادلة

العنصر الأكثر أهمية تقنياً هو تجاوز PAC (CVE-2026-20700). قدمت Apple تقنية Pointer Authentication Codes مع شريحة A12 كدفاع عتادي ضد هجمات إعادة استخدام الشفرة. يوقع PAC عناوين الإرجاع ومؤشرات الدوال بأكواد تشفيرية، مما يمنع نظرياً المهاجمين من إعادة توجيه التنفيذ حتى بعد تحقيق فساد الذاكرة.

يثبت تجاوز DarkSword أن التخفيفات العتادية، رغم رفعها الكبير للعتبة، ليست منيعة. لهذا تداعيات تتجاوز Apple: CET من Intel وMTE من ARM وميزات الأمن العتادية الأخرى تتبع نفس النموذج. يُظهر DarkSword أن هذه الدفاعات تضيف تكلفة وتعقيداً للمهاجمين لكنها لا تزيل التهديد.

دروس لأمن المؤسسات

سرعة التصحيح حاسمة. امتدت النافذة بين الاستغلال النشط والتصحيح الشامل لأشهر. المؤسسات التي تفرض تحديثات سريعة لنظام التشغيل تقلص التعرض بشكل كبير.

يجب أن يفرض MDM إصدارات نظام التشغيل. حلول إدارة الأجهزة المحمولة التي تسمح بتأجيل غير محدد للتحديثات تخلق ثغرة مستمرة. يجب أن تفرض سياسات المؤسسة الإصدار الحالي أو الحالي ناقص واحد من نظام التشغيل.

تصفح الويب سطح هجوم. توصيل DarkSword عبر مواقع شرعية مخترقة يتجاوز الدفاعات المركزة على التصيد. ينبغي تقييم حلول الدفاع ضد التهديدات المحمولة التي تكتشف نشاط مجموعات الاستغلال على مستوى الشبكة أو الجهاز.

افتراض الاختراق للأهداف عالية القيمة. ينبغي للمؤسسات التي قد يُستهدف موظفوها من قبل بائعي المراقبة التجارية تنفيذ تدوير الأجهزة واتصالات مقسمة وفحوصات جنائية منتظمة.

المصادر والقراءات الإضافية

• The Proliferation of DarkSword: iOS Exploit Chain — Google Cloud Blog
• DarkSword iOS Exploit Kit Uses 6 Flaws, 3 Zero-Days — The Hacker News
• Apple Expands DarkSword Patches to iOS 18.7.7 — Malwarebytes
• DarkSword: iPhone Exploit Kit Serves Spies and Thieves Alike — Dark Reading
• CVE-2026-20700: Apple Patches Zero-Day — SOC Prime
• DarkSword Exploit Chain Leaked Online — Cybersecurity News
• Apple Releases iOS 18.7.7 for DarkSword Protection — gHacks