Coruna: эксплойт-кит для массового взлома iPhone

Эксплойт-kit Coruna, также известный как CryptoWaters, идентифицирован как продвинутый framework для эксплуатации устройств iOS, в первую очередь iPhone, работающих на версиях iOS 13.0–17.2.1. По данным исследования, этот toolkit включает 23 отдельных эксплойта и демонстрирует уровень сложности, который обычно ассоциируется с противниками уровня государства.

Особую значимость Coruna придает не только набор техник, но и круг связанных с ним злоумышленников. Среди них — коммерческие клиенты систем слежки, а также две группы: UNC6353, связанная с российской шпионской деятельностью, и UNC6691, которую исследователи описывают как китайский actor, мотивированный финансовой выгодой.

Как работает цепочка эксплуатации

Жизненный цикл атаки начинается с посещения жертвой вредоносного сайта. На странице размещается внедренный iframe, который запускает эксплуатацию уязвимостей WebKit. После этого цепочка атаки переходит к повышению привилегий через уязвимости ядра.

Coruna выстроен как многоэтапный framework: он выполняет несколько проверок, проходит через последовательность стадий и в конечном итоге внедряет payload в критически важные системные процессы.

Используемые уязвимости

В цепочке Coruna задействован ряд известных уязвимостей, включая:

• CVE-2024-23222 — уязвимость Remote Code Execution;
• CVE-2023-41974 — use-after-free в ядре, добавленная в каталог CISA;
• несколько других уязвимостей, ранее использовавшихся в кампаниях, включая Operation Triangulation.

Отдельного внимания заслуживает то, что набор инструментов Coruna использует передовые методы обхода защитных механизмов iOS, в частности Apple Pointer Authentication Code.

PLASMAGRID: payload с акцентом на C2 и кражу данных

Одним из ключевых payload, связанных с Coruna, является PLASMAGRID, использующий идентификатор com.apple.assistd. Эта нагрузка действует как stager: она внедряется в демон powerd на уровне root в iOS и устанавливает канал связи с C2.

По данным анализа, PLASMAGRID способен:

• эксфильтровать конфиденциальные данные, включая изображения и заметки;
• в первую очередь искать контент, связанный с криптовалютой;
• собирать дополнительные персональные данные с скомпрометированных устройств.

При этом malware не имеет persistence: он находится только в оперативной памяти и требует повторного посещения вредоносного сайта для повторного заражения.

От целевых операций к массовой эксплуатации

Стратегия распространения UNC6691 показывает заметный сдвиг от узконаправленных атак к более широкому, безразборчивому подходу. Группа нацеливалась на широкий спектр криптовалютных и финансовых websites, используя их как площадку для заражающих эксплойтов. Такой подход максимизирует потенциальную базу жертв и повышает масштаб кампании.

«Набор инструментов Coruna использует передовые методы для обхода мер безопасности iOS и демонстрирует уровень тщательности, характерный для профессиональной разработки эксплойтов».

Что рекомендуется организациям

Исследователи подчеркивают, что в текущих условиях требуется немедленная реакция. Рекомендации сводятся к следующему:

• обновить все устройства до последней версии iOS;
• включить Lockdown Mode, если обновление невозможно;
• анализировать network traffic в затронутых средах;
• усилить patch management и мониторинг специфических indicators, описанных во framework;
• сохранять постоянную vigilance и использовать адаптивные стратегии сетевой защиты.

Учитывая быстро меняющийся характер Coruna, эксперты считают, что только сочетание своевременного обновления, мониторинга и ограничительных режимов защиты может снизить риск компрометации устройств iPhone.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.