ghostblade - RunkIntel

# GHOSTBLADE > [!danger] Resumo > Implante pós-exploração iOS baseado em JavaScript, distribuído via a cadeia de exploit DarkSword, que explora seis vulnerabilidades zero-day no iOS 18.4-18.7 para roubo massivo de dados pessoais, criptomoedas e credenciais de iPhones. ## Visão Geral O [[ghostblade|GHOSTBLADE]] é um dataminer iOS implantado pelo grupo de espionagem UNC6353 (suspeito de nexo russo) através da cadeia de exploits **DarkSword**. Diferentemente de backdoors persistentes, o GHOSTBLADE opera como um implante de coleta rápida - extrai o máximo de dados possível e remove seus rastros, sem manter presença contínua no dispositivo. A cadeia DarkSword é um exploit 1-click que encadeia **seis vulnerabilidades zero-day** no iOS 18.4 a 18.7, permitindo sandbox escape, escalação de privilégios e execução remota de código. O exploit é ativado quando a vítima visita um site comprometido (watering hole), injetando um JavaScript engine em serviços privilegiados do iOS. A análise do Google TAG/Mandiant revelou que o GHOSTBLADE contém logging de debug completo, comentários no código e verificações de versão iOS, sugerindo desenvolvimento ativo. Existe também uma função não implementada `startSandworm()` que pode ser um codinome para um exploit adicional. ## Capacidades Técnicas - **Roubo de apps crypto**: Dados de Coinbase, Binance, Kraken, KuCoin, OKX, MEXC e carteiras (Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom, Gnosis Safe) - **Dados pessoais**: SMS/iMessage, histórico de chamadas, contatos, senhas Wi-Fi - **Navegação**: Cookies e histórico do Safari via [[t1555-credentials-from-password-stores|T1555]] - **Privacidade**: Localização, dados de saúde, fotos, senhas salvas - **Mensageiros**: Histórico do Telegram e WhatsApp - **Anti-forense**: Deleta crash reports de `/private/var/containers/Shared/SystemGroup/systemgroup.com.apple.osanalytics/DiagnosticReports/` (mas falha em limpar `/private/var/mobile/Library/Logs/CrashReporter`) - **Exfiltração**: Dados enviados via HTTP(S) a servidores controlados pelo atacante ## Táticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Acesso Inicial | [[t1189-drive-by-compromise\|T1189]] | Watering hole - sites comprometidos com iframes maliciosos | | Execução | [[t1059-007-javascript\|T1059.007]] | Engine JavaScript injetado em serviços privilegiados iOS | | Escalação | [[t1068-exploitation-for-privilege-escalation\|T1068]] | Seis zero-days para sandbox escape e privilege escalation | | Coleta | [[t1005-data-from-local-system\|T1005]] | Roubo massivo de dados locais (crypto, SMS, fotos, senhas) | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | HTTP(S) para servidores do atacante | | Acesso a Credenciais | [[t1555-credentials-from-password-stores\|T1555]] | Keychain, Safari, senhas salvas | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Webpack bundling e ofuscação | | Evasão | [[t1070-004-file-deletion\|T1070.004]] | Remoção de crash reports para anti-forense | ## Cadeia de Infecção 1. **Watering hole**: Vítima visita site comprometido (ou com iframe malicioso injetado) 2. **DarkSword trigger**: Exploit 1-click ativado automaticamente no navegador 3. **Sandbox escape**: Cadeia de seis zero-days escala do sandbox do Safari para serviços privilegiados iOS 4. **JavaScript injection**: Engine JS injetado com acesso a App Access, Wi-Fi, Springboard, Keychain, iCloud 5. **Coleta**: GHOSTBLADE varre todos os dados acessíveis (crypto, mensagens, senhas, fotos) 6. **Exfiltração**: Dados enviados via HTTPS ao servidor C2 7. **Limpeza**: Crash reports deletados para dificultar forense (limpeza parcial) ## Atores Associados | Ator | Nexo | Descrição | |------|------|-----------| | UNC6353 | Rússia (suspeito) | Grupo de espionagem que migrou do kit Coruna para DarkSword | | UNC6748 | Desconhecido | Operador usando DarkSword em ataques na Arábia Saudita (impersonação Snapchat) | | PARS Defense | Turquia | Vendor de segurança com amostras modificadas do GHOSTBLADE | ## Alvos e Regiões - **Países**: Arábia Saudita, Turquia, Malásia, Ucrânia - **Perfil de vítimas**: Usuários de criptomoedas, sites governamentais - **Plataforma**: iPhone com iOS 18.4 a 18.7 ## Vulnerabilidades Exploradas Seis zero-days no iOS 18.4-18.7 (CVEs não divulgados públicamente nos relatórios analisados). Corrigidos no iOS 26.1-26.3. ## Indicadores de Comprometimento (IoCs) IoCs específicos não foram divulgados públicamente nos relatórios de referência. A detecção depende de: - Monitoramento de crash reports em caminhos conhecidos do GHOSTBLADE - Análise de tráfego HTTPS anômalo de iPhones para servidores desconhecidos - Ferramentas como [[iverify|iVerify]] para detecção de comprometimento iOS ## Referências - [Google Cloud/Mandiant - DarkSword iOS Exploit Chain](https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain) - [BleepingComputer - DarkSword iOS Exploit Used in Infostealer Attack](https://www.bleepingcomputer.com/news/security/new-darksword-ios-exploit-used-in-infostealer-attack-on-iphones/) - [iVerify - DarkSword iOS Exploit Kit Explained](https://iverify.io/blog/darksword-ios-exploit-kit-explained) - [Dark Reading - DarkSword iPhone Exploit: Spies and Thieves](https://www.darkreading.com/threat-intelligence/darksword-iphone-exploit-spies-thieves)