Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Coruna iOS Kit повторно користи exploit код од Operation Triangulation (2023) во нови масовни напади

Објавено: 27.03.2026

Kernel exploit-от за две безбедносни ранливости што се користат во неодамна откриениот iOS exploit kit наречен Coruna е ажурирана верзија од истиот exploit што бил користен во кампањата Operation Triangulation во 2023 година, според нови наоди од Kaspersky.

„Кога Coruna првпат беше објавен, јавните докази не беа доволни за да се поврзе со Triangulation — споделени ранливости не значат нужно и ист автор,“ изјави Boris Larin, главен истражувач во Kaspersky GReAT, за The Hacker News.

„Coruna не е составен од јавни exploit-и; тоа е континуирано одржувана еволуција на оригиналниот Triangulation framework. Вклучувањето на проверки за понови процесори како M3 и понови iOS верзии покажува дека оригиналните развивачи активно го прошируваат овој код. Она што започна како прецизна алатка за шпионажа, сега се користи масовно.“

Coruna првпат беше документиран од Google и iVerify, таргетирајќи Apple iPhone уреди со iOS верзии од 13.0 до 17.2.1.

Иако првично бил користен од клиент на неименувана компанија за надзор, подоцна бил искористен од актери поврзани со Русија во „watering hole“ напади во Украина, како и во масовна кампања што користела лажни кинески веб-страници за коцкање и криптовалути за дистрибуција на malware познат како PlasmaLoader (PLASMAGRID).

Exploit kit-от содржи:

  • 5 комплетни iOS exploit синџири
  • вкупно 23 exploit-и
  • вклучувајќи ги CVE-2023-32434 и CVE-2023-38606 (првично zero-day ранливости во Triangulation)

Најновите анализи од Kaspersky покажуваат дека kernel exploit-ите и во Triangulation и во Coruna се создадени од ист автор. Coruna дополнително користи уште четири kernel exploit-и, сите изградени врз ист framework и со заеднички код.

Кодот вклучува поддршка за нови Apple M3, M3 Pro, M3 Max и A17 процесори, како и проверки за iOS 17.2 и iOS 16.5 beta 4 (верзија што ги закрпи оригиналните ранливости).

Како функционира нападот

Нападот започнува кога корисник ќе отвори компромитирана веб-страница во Safari:

  1. Се активира „stager“ кој го анализира уредот (browser + OS fingerprinting)
  2. Се избира соодветен exploit
  3. Се извршува payload кој го активира kernel exploit-от

Откако ќе се преземат компонентите:

  • payload-от извршува kernel exploit-и
  • се користат Mach-O loaders
  • се активира malware launcher

Launcher-от е главниот контролер кој:

  • ги иницира пост-експлоатациските активности
  • го користи kernel exploit-от за да го инсталира финалниот имплант
  • ги брише трагите за да избегне форензичка анализа

„Првично развиен за сајбер-шпионажа, овој framework сега се користи од поширок круг сајбер-криминалци, ставајќи милиони корисници со неажурирани уреди во ризик,“ изјави Ларин. „Поради неговиот модуларен дизајн и лесната повторна употреба, очекуваме и други актери да почнат да го користат.“

Дополнително, нова верзија на iPhone exploit kit наречен DarkSword протече на GitHub, што отвора загриженост дека напредни алатки за хакирање ќе станат достапни за многу повеќе напаѓачи — трансформирајќи ги од елитни алатки во масовни средства за експлоатација.

Извори:

  • The Hacker News – Coruna iOS Kit Reuses 2023 Triangulation Exploit Code in Recent Mass Attacks The Hacker News