- Google研究者が「Coruna」と呼ばれる非常に複雑なエクスプロイトキットを発見
- このキットは監視ソフトウェア顧客によってデプロイされた後、ロシアと中国の脅威アクターによって使用されました
- キットのドキュメンテーションは米国政府によって開発された証拠を示しています
iPhoneを標的とした非常に複雑なエクスプロイトキットがGoogle脅威インテリジェンスグループ(GTIG)の研究者によって発見されました。これは非公開の脆弱性悪用とバイパスが含まれています。
「Coruna」として追跡されているこのキットは、最初は名前が明らかにされていない監視会社の顧客による標的型攻撃で使用されていましたが、その後、フルキットがGTIGによって回収される前に、ロシアと中国の脅威アクターによる使用も確認されました。
iVerifyチームによるキットに含まれるエクスプロイトのソースのさらなる研究により、このキットは米国政府のフレームワークとして開発された可能性があることが示されています。
米国政府によって開発されたiPhoneエクスプロイトキット
Coronaエクスプロイトキットは、一般的なハッカーによって開発された通常のマルウェアではありません。
5つの完全なエクスプロイトチェーンを形成するためにさまざまな構成で機能する23のエクスプロイトを含むこのキットの複雑さは、キットが国家によって組み立てられたことを示しています。エクスプロイトキットはまた、監視企業によって開発されたスパイウェアの外科的で対象特定的な性質ではなく、大量にデバイスを危険にさらすために機能するという点で独特です。iVerifyはCorunaを「最初の既知の大規模iOS攻撃」と呼んでいます。
フルエクスプロイトキットは、中国の脅威アクターが複数のギャンブルおよび暗号通貨サイトで使用するためにキットをデプロイした後、Googleによって回収されました。しかし、iVerifyが分析したとき、エクスプロイトキットはネイティブ英語で書かれた広範なドキュメンテーションを含んでいました。キットのフレームワークの高度に組織化された性質はまた、米国政府によって開発されたフレームワークとの類似性を示しています。
中国の脅威アクターから回収されたエクスプロイトキットの最終ペイロードは、暗号ウォレットなどの財務情報、およびメディアファイルと機密個人情報にアクセスして取得するように設計されていました。
iVerifyはさらに、Coronaが監視ベンダーによって開発され、その後政府に売却されたスパイウェアおよびエクスプロイトと同様の軌跡をたどっていることを指摘しています。エクスプロイトは、政府機関などのエンドユーザーによって実際に展開され、他の脅威アクターによって拾い上げられ、盗まれて展開される可能性があります。
この最も著名な例は、EternalBlueエクスプロイトソフトウェアです。これはゼロデイエクスプロイトを利用してMicrosoftデバイスを危険にさらしていました。EternalBlueは米国国家安全保障局(NSA)によって数年間積極的に使用されていました。Microsoftはのみ、EternalBlueが盗まれた後にゼロデイの通知を受けました。
iVerifyチームは、「ブローカーはこれらの機能を信頼することはできません。スパイウェア市場でのビジネス間取引は非常に規制されていません。」と追加しました。Pall Mallプロセスは、スパイウェアおよび監視ソフトウェアの無責任な開発と販売に対処するために開発された国際的なフレームワークです。これはEternalBlueで発生した正確な状況を防ぐために特別に設計されており、Coronaキットで発生した可能性があります。
保護された状態を保つ方法
Coronaキットは、2019年9月にリリースされたiOSバージョン13.0から2023年12月にリリースされたバージョン17.2.1までのiPhoneに対してデプロイされたエクスプロイトを使用しています。最新のiOSバージョンにアップグレードすることで、あなたのデバイスはCorunaキットで使用されるすべてのエクスプロイトから保護されます。
デバイスを最新のiOSバージョンにアップグレードできないユーザーは、iPhoneをロックダウンモードに配置する必要があります。これを行うには、次のステップを実行してください:
- 設定に移動し、プライバシーとセキュリティをタップしてください
- 下にスクロールして、ロックダウンモードをタップしてください
- ロックダウンモードをオンにするをタップしてください
デバイスが感染した可能性があると考えるユーザーは、GTIGの侵害指標およびiVerifyの「これを取り除く方法」セクションを参照する必要があります。
