Комплетот за експлоатација на Coruna iOS на ниво на шпионски софтвер сега се користи во напади со кражба на криптовалути

Претходно недокументиран сет од 23 iOS експлоатации наречени „Coruna“ е распореден од повеќе заканувачки актери во целни шпионски кампањи и финансиски мотивирани напади.

Coruna kit-от содржи пет целосни iOS експлоатирани синџири, од кои најсофистицираниот користи непублични техники и заобиколувања на заштитни механизми, за iOS верзии 13.0 до 17.2.1 (објавена во декември 2023).

Истражувачите на Google Threat Intelligence Group (GTIG) првпат забележаа активност поврзана со комплетот за експлоатација на Coruna во февруари 2025 година, активност што му се припишува на клиент на добавувач на надзор. Во тоа време, истражувачите добиле JavaScript framework за испорака заедно со експлоитот за CVE-2024-23222, ранливост во WebKit која овозможува далечинско извршување код на iOS 17.2.1. Apple Inc. ја закрпи ранливоста во iOS 17.3 на 22 јануари 2024, откако беше експлоатирана во zero-day напади.

Истиот обфускиран framework повторно беше забележан во летото, кога сомнителни руски сајбер шпиони означени како UNC6353 го користеле во watering hole напади насочени кон корисници на iPhone кои посетувале компромитирани украински веб страници за е-трговија, индустриска опрема и малопродажни алатки, како и локални услуги.

Кон крајот на 2025 година, комплетот за експлоатација се појави на разни лажни кинески веб-страници за коцкање и крипто. Google ја припишува активноста на финансиски мотивираниот кинески заканувачки актер UNC6691.

Способности на Coruna комплетот за експлоатација

Откако го добија комплетниот комплет за експлоатација кон крајот на 2025 година, аналитичарите на GTIG открија дека тој вклучува пет целосни синџири на експлоатација користејќи сет од 23 експлоативи, вклучувајќи:

• WebKit далечинско извршување код
• Заобиколувања на Pointer Authentication Code (PAC)
• Sandbox escape
• Ескалација на привилегии во кернел
• Заобиколувања на Page Protection Layer (PPL)

„Експлоитите содржат обемна документација, вклучувајќи docstrings и коментари напишани на англиски јазик. Најнапредните користат непублични техники за експлоатација и заобиколување на заштитни механизми,“ соопштуваат истражувачите од Google.

Некои од експлоитите повторно користат ранливости првично идентификувани за време на Operation Triangulation, која беше откриена во јуни 2023 од Kaspersky Lab откако компанијата откри дека неколку iPhone уреди на нивната мрежа биле компромитирани.

Компанијата подоцна утврди дека експлоитите злоупотребувале недокументирани хардверски функции на уредите на Apple Inc..

Според истражувачите на GTIG, Coruna го fingerprint-ира уредот и верзијата на оперативниот систем, а потоа го избира соодветниот exploit синџир за извршување.

Ако на уредот е активиран Lockdown Mode (функција за анти-шпионска заштита) или приватно прелистување, framework-от прекинува со работа.

Испорачување на PlasmaGrid

Анализата на GTIG откри дека еден од последните товари испорачани по синџирот на експлоатација на Coruna бил stager loader наречен PlasmaLoader, кој истражувачите го следат како PlasmaGrid, кој се инјектира во root демонот на iOS „powerd“.

Сепак, малициозниот софтвер нема способности карактеристични за шпионска операција. Тој презема дополнителни модули од command-and-control (C2) сервер кои таргетираат апликации за криптовалутни паричници како MetaMask, Phantom, Exodus, BitKeep и Uniswap.

Заканувачкиот актер користел лажни финансиски и крипто-поврзани веб-страници за да го испорача комплетот за експлоатација, обидувајќи се да ги убеди посетителите да користат iOS уреди при вчитување на страниците.

Истражувањето на инцидентот е поврзано и со наоди од Kaspersky Lab, која претходно откри компромитирање на iPhone уреди преку техники што злоупотребувале недокументирани функции на уредите на Apple Inc..

Целната податочна база вклучува recovery phrases за паричници (BIP39), чувствителни текстуални низи како „backup phrase“ и „bank account“, како и податоци зачувани во Apple Memos.

Украдените податоци се енкриптираат со AES пред ексфилтрација и се испраќаат до hardcoded C2 адреси. За отпорност на takedown, имплантот исто така содржи domain generation algorithm (DGA) заснован на стрингот „lazarus“ кој генерира .xyz домени.

Истражувачите од GTIG не можеа да утврдат како Coruna exploit kit преминал од шпионски кампањи поврзани со надзорен vendor кон финансиски мотивирани злонамерни активности насочени кон корисници на криптовалути.

„Како се случила оваа пролиферација не е јасно, но укажува на активен пазар за ‘second-hand’ zero-day експлоити,“ забележува извештајот на GTIG.

Надзорните vendori ги чуваат exploit kit-овите како Coruna под строго ограничен пристап и ги користат во производи за владини клиенти кои спроведуваат високо таргетирани операции. Apple Inc. секогаш тврдела дека ваквите безбедносни проблеми се користеле во ограничени напади насочени кон лица со висока вредност.

Компанијата за мобилна безбедност iVerify наведува дека Coruna е еден од најјасните примери на „софистицирани spyware-grade способности“ кои мигрирале „од комерцијални надзорни vendori во рацете на државни актери и на крај во масовни криминални операции“.

Ова го зајакнува долгогодишното гледиште на iVerify дека пејзажот на мобилни закани брзо се менува, „и алатките што некогаш биле резервирани за таргетирање на шефови на држави сега се користат против обични корисници на iPhone“.

Google додаде во Safe Browsing сите веб страници и домени идентификувани при анализата на Coruna exploit kit-от и препорачува корисниците на iOS да го надградат системот на најновата верзија. Ако надградбата не е можна, препораката е да се активира Lockdown Mode.

Освен ранливостите вклучени во Coruna exploit kit-от и нивните кодни имиња, извештајот на GTIG исто така содржи индикатори на компромитација за имплантот и модулите испорачани преку криптовалутните веб страници, како и инфраструктурата за напад.

Извори:

• Bleeping Computer – Spyware-grade Coruna iOS exploit kit now used in crypto theft attacks Bleeping Computer