Google Threat Intelligence Group(GTIG)のセキュリティ研究者は、数千台のiPhoneをハッキングした強力なiOSエクスプロイトキット「Coruna」を暴露しました。
このフレームワークは、5つの完全なエクスプロイトチェーンと23個の脆弱性を使用してiOS 13.0~17.2.1を標的にしています。
2025年初期には商用監視ベンダーのツールとして始まりましたが、世界中の脅威アクターに広がり、ゼロデイの黒市を助長しました。
Corunaは2025年2月に監視顧客の使用で開始されました。夏までに、ロシアのスパイ活動グループと疑われるUNC6353が、ハッキングされたローカルサイト経由でウクライナのユーザーへの水場攻撃に流用しました。彼らはcdn.uacounter[.]comなどのドメインからのiframeにエクスプロイトを隠しました。
2025年後半、金銭的動機のある中国の脅威アクターであるUNC6691がそれを世界規模で拡大させました。彼らはWEEXや3v5w1km5gv[.]xyzなどの偽の暗号交換所を使用して被害者を誘引しました。ポップアップはユーザーがキットを読み込むようにだまします。GTIGはこれを彼らのレポートで詳細に説明しました。
ペイロードはPlasmaLoader(PLASMAGRID)をデプロイします。これはcom.apple.assistd識別子を使用してiOSのpowerdルートデーモンに注入するステージャーです。
スパイウェアと異なり、暗号資産を盗みます。BIP39フレーズについてApple Memosをスキャンし、f6lib.jsを使用してMetaMaskとTrust Walletからデータを取得します。
HTTPSでC2サーバーにエクスフィルしています。.xyzドメイン用に「lazarus」シードを使用したDGAフォールバックがあります。ファイルはカスタム0xf00dbeefヘッダーを表示しています。
ChaCha20でペイロードを暗号化し、ロックダウンモードまたはプライベートブラウジングがアクティブな場合は停止します。
最新のiOSアップデートがこれらの欠陥に対するパッチを当てました。高リスクユーザーはロックダウンモードを有効にしてCorunaを完全にブロックする必要があります。組織向け:これらのIOCを監視し、トラフィックをDGAパターン用にスキャンしてください。GTIGからの詳細をご覧ください。
翻訳元: https://cyberpress.org/coruna-exploit-kit-leveraging-23-vulnerabilities/