162/69 (IT) ประจำวันศุกร์ที่ 20 มีนาคม 2569
นักวิจัยด้านความปลอดภัยตรวจพบชุดเครื่องมือเจาะระบบ (Exploit Kit) ใหม่ชื่อ DarkSword โดยอาศัยช่องโหว่ 6 รายการ ได้แก่ CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 และ CVE-2025-43520 เพื่อข้ามข้อจำกัดของ Sandbox ยกระดับสิทธิ์ และรันโค้ดจากระยะไกลบนอุปกรณ์ iPhone การโจมตีเริ่มต้นผ่านเบราว์เซอร์ Safari โดยใช้หลายช่องโหว่ร่วมกันเพื่อเข้าถึงสิทธิ์ kernel read/write ก่อนติดตั้งมัลแวร์ตระกูล GHOST เช่น GHOSTBLADE สำหรับขโมยข้อมูล GHOSTKNIFE ในลักษณะ backdoor และ GHOSTSABER สำหรับสั่งงานและดึงข้อมูลเพิ่มเติม
แคมเปญดังกล่าวเชื่อมโยงกับผู้โจมตีหลายกลุ่ม เช่น UNC6748 ที่มุ่งเป้าผู้ใช้ผ่านเว็บไซต์ปลอม รวมถึงกิจกรรมที่เชื่อมโยงกับ PARS Defense และกลุ่ม UNC6353 ซึ่งถูกประเมินว่าเกี่ยวข้องกับปฏิบัติการจารกรรมโดยใช้ DarkSword โจมตีเป้าหมายผ่านเทคนิค watering hole โดยฝัง iframe อันตรายลงในเว็บไซต์ที่ถูกยึดครองเพื่อปล่อยมัลแวร์ GHOSTBLADE นักวิจัยระบุว่า DarkSword ถูกออกแบบให้ทำงานอย่างรวดเร็ว และลบไฟล์ชั่วคราวพร้อมยุติการทำงานหลังส่งข้อมูลออกสำเร็จ เพื่อลดร่องรอยและหลีกเลี่ยงการถูกตรวจจับในระยะยาว
ข้อมูลที่มัลแวร์สามารถขโมยได้ครอบคลุมทั้งรหัสผ่านที่บันทึกไว้ รูปภาพ ฐานข้อมูล WhatsApp และ Telegram กระเป๋าเงินคริปโท เช่น Coinbase, Binance และ Ledger ประวัติการโทร รายชื่อผู้ติดต่อ ตำแหน่งที่ตั้ง ประวัติการใช้งานเบราว์เซอร์ ตลอดจนข้อมูลจาก Apple Health อย่างไรก็ตาม Apple ได้แก้ไขช่องโหว่ที่เกี่ยวข้องแล้วใน iOS เวอร์ชันล่าสุด โดยแนะนำให้ผู้ใช้ iPhone เร่งอัปเดตเป็น iOS 26.3.1 โดยเร็วที่สุด และผู้ที่มีความเสี่ยงสูงควรเปิดใช้ Lockdown Mode เพื่อเพิ่มระดับการป้องกัน