Security

Gemini saidCISA Perintahkan Instansi Federal Tambal Celah iOS yang Dieksploitasi DarkSword

6 days ago
2 minutes read

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menginstruksikan seluruh instansi pemerintah AS untuk segera menambal tiga kerentanan kritis pada iOS. Celah ini diketahui secara aktif menjadi target dalam aksi pencurian mata uang kripto dan spionase siber yang menggunakan exploit kit bernama DarkSword.

Rantai Kerentanan dan Eksekusi Jarak Jauh

Berdasarkan temuan yang diungkap oleh Google Threat Intelligence Group (GTIG) dan peneliti iVerify pekan lalu, kerangka kerja distribusi DarkSword menyalahgunakan rantai enam kerentanan secara berurutan. Keenam celah tersebut dilacak sebagai CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510, dan CVE-2025-43520.

Eksploitasi celah ini memungkinkan penyerang untuk keluar dari pembatasan sistem (sandbox escape), melakukan eskalasi hak istimewa (privilege escalation), dan pada akhirnya mendapatkan kemampuan eksekusi kode jarak jauh (RCE) pada iPhone target. Kerentanan ini secara spesifik memengaruhi iPhone yang menjalankan iOS versi 18.4 hingga 18.7. Kabar baiknya, seluruh celah tersebut telah diperbaiki oleh Apple pada rilis pembaruan iOS terbaru.

Dalang Serangan dan Tiga Malware “Hantu”

Peneliti keamanan mengaitkan infrastruktur DarkSword dengan beberapa kelompok ancaman yang berbahaya. Di antaranya adalah UNC6748—sebuah entitas pelanggan dari vendor pengawasan komersial asal Turki, PARS Defense—serta kelompok spionase yang diduga kuat terafiliasi dengan intelijen Rusia, UNC6353.

Dalam kampanye serangan yang dipantau oleh GTIG, peretas menjatuhkan tiga keluarga malware pencuri informasi yang berbeda ke perangkat korban:

  • GhostBlade: Infostealer berbasis JavaScript yang beroperasi dengan sangat agresif.
  • GhostKnife: Backdoor yang mampu mengeksfiltrasi (mencuri dan mengeluarkan) data dalam jumlah yang sangat besar.
  • GhostSaber: Skrip JavaScript yang bertugas mengeksekusi kode sistem sekaligus mencuri data korban.

Kelompok UNC6353 secara spesifik diketahui menyebarkan exploit kit DarkSword dan Coruna melalui metode serangan watering-hole. Mereka menargetkan pengguna iPhone yang mengunjungi situs web sah milik organisasi Ukraina—seperti platform e-commerce, peralatan industri, dan layanan lokal—yang sebelumnya telah mereka retas dan susupi kode berbahaya.

Perusahaan keamanan seluler Lookout mencatat keunikan dari DarkSword: malware ini dirancang untuk segera menghapus fail sementara (temporary files) dan keluar dari sistem setelah berhasil mencuri data. Perilaku ini mengindikasikan bahwa alat ini difokuskan untuk operasi pengawasan rahasia jangka pendek yang sangat mengutamakan penghindaran deteksi.

Tenggat Waktu Ketat dari CISA

Merespons tingkat ancaman yang tinggi, CISA secara resmi memasukkan tiga dari enam kerentanan DarkSword (CVE-2025-31277, CVE-2025-43510, dan CVE-2025-43520) ke dalam katalog Kerentanan yang Diketahui Dieksploitasi (KEV).

Melalui arahan tersebut, CISA memberikan tenggat waktu yang ketat bagi seluruh lembaga di bawah cabang eksekutif sipil federal (FCEB) untuk mengamankan perangkat operasional mereka selambat-lambatnya dalam dua minggu, tepatnya pada 3 April. Meskipun mandat hukum ini hanya mengikat instansi federal AS, CISA sangat mendesak seluruh sektor swasta dan administrator TI di seluruh dunia untuk memprioritaskan penambalan perangkat mereka sesegera mungkin guna membendung risiko penyadapan data.

Tags
6 days ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button