GoogleとiVerifyの研究者らは、このケースがハイエンドゼロデイエクスプロイトの活発なセカンダリマーケットが存在していることを示していると述べています。
Googleの脅威インテリジェンス研究者らは、iPhoneを標的とした高度なエクスプロイトキットを特定しました。このキットは、商用監視ベンダーの顧客によって初めて使用され、その後ロシアのスパイ活動グループの疑いがある集団に目的変更され、さらに中国のサイバー犯罪者によって使用されました。研究者らが説明する、ハイエンドゼロデイエクスプロイトの活発なセカンダリマーケットの存在を浮き彫りにしています。
「この拡散がどのように発生したかは不明ですが、『中古の』ゼロデイエクスプロイトの活発な市場が存在することを示唆しています」とGoogle Threat Intelligence Group(GTIG)はブログ投稿で述べました。「複数の脅威アクターが高度なエクスプロイト技術を取得し、新たに特定された脆弱性で再利用・修正することができるようになりました。」
開発者によって Coruna と名付けられたこのエクスプロイトキットは、iOS 13.0から iOS 17.2.1を実行するiPhoneを標的とする合計23個の個別エクスプロイトから構築された、5つの完全なiOSエクスプロイトチェーンを含んでいます。これは2019年9月から2023年12月にリリースされたデバイスをカバーする範囲です。
モバイルセキュリティ企業のiVerifyは同じツールキットを独立して発見および逆エンジニアリングし、同じ日に裏付けとなる研究を発表しました。このツールキット(CryptoWatersと呼称)について、金銭目的の犯罪グループによるiOSデバイスの大規模エクスプロイトが初めて観察されたケースとして説明しました。
3つの脅威アクター、1つのツールキット
GTIGは2025年2月にCorunaの要素を初めて検出しました。研究者らが、名前が明かされていない商用監視企業の顧客によって使用されたiOSエクスプロイトチェーンの一部をキャプチャしました。フレームワークは対象デバイスをフィンガープリント化し、iPhoneモデルとiOSバージョンを識別し、適切なWebKitリモートコード実行エクスプロイトを静かに配信しました。ブログ投稿によるとこのようなものです。
同じフレームワークは2025年の夏に再度浮上しました。今度はロシアのスパイ活動グループの疑いがあるUNC6353によって目的変更され、産業機器、小売、電子商取引部門にまたがる侵害されたウクライナのウェブサイト上に隠しiframeとして埋め込まれました。GoogleのアカウントによればUkraineのCERT-UAと協力してすべての侵害されたウェブサイトをクリーンアップしました。
年末までに同じキットが、UNC6691(金銭目的で活動している中国系の脅威アクター)によって運営されている大規模な偽造中国金融ウェブサイトネットワーク全体に出現していました。以前の標的型展開とは異なり、iVerifyはエクスプロイトチェーンに地政学的位置情報フィルタリングが含まれていないことを確認しました。つまり、これらのページにアクセスした脆弱性のあるiPhoneはすべてリスク状態にありました。
VIPだけがこのマルウェアのリスクにさらされているわけではないと、Everest Group上級アナリストのGautam Goel氏は述べています。「GTIGの記述は、監視グレードのエクスプロイトチェーンが標的型使用から大規模犯罪キャンペーンへ移行していることを示しているという点で特に注目に値します。」
暗号資産ウォレットを流出させるために構築されたペイロード
UNC6691の場合、GTIGによると、その大規模犯罪キャンペーンには特定の財務目的がありました。
Corunaのエクスプロイトチェーンの末端にあるペイロード(GTIGはPlasmagridとして追跡)は、従来の監視ソフトウェアではありません。GTIGによると、iOSではrootとして実行されるデーモンであるpowerdに自身を注入し、暗号資産を盗むために特別に構築されています。
Plasmagridは、MetaMask、Phantom、Exodus、Uniswapを含む18の暗号資産ウォレットアプリケーションにフックし、認証情報を流出させます。画像をスキャンしてQRコードを検出し、Apple Notesをシードフレーズおよび「バックアップフレーズ」や「銀行口座」などのキーワードについて解析します。GTIGは、インプラント内のコメントが中国語で書かれており、その一部は大規模言語モデルによって生成されたように見えると述べています。iVerifyは、独立した分析により、GTIGが特定したもの以上に、WhatsAppを標的とする追加モジュールを発見し、このキットがアクティブな開発中であるとされていることに留意しました。
Corunaがスパイウェア市場について明かすこと
このケースにより、商用監視産業の、そのツールが管理された標的型の使用下にとどまるという保証に対する精査が更新されました。Greyhound Research主任アナリストのSanchit Vir Gogia氏は、このパターンが構造的な問題を明らかにしていると述べています。「エコシステムには、エクスプロイト取得プログラム、脆弱性ブローカー、攻撃能力の循環を促進するセカンダリマーケットが含まれています」とGogia氏は述べています。「単一カテゴリのベンダーを規制することは、基礎的なサプライチェーンに対処するためにほとんど行わないのです。」
Goel氏は、タイムラインがポリシーの失敗を具体的にしていると述べています。「最初の購入者が合法的な標的型使用を主張したとしても、その能力自体は数ヶ月以内に犯罪エコシステムに拡散する可能性があります」と彼は述べています。Googleはより広いポリシー上の課題を認め、商用サイバー侵入能力の悪用を制限することに焦点を当てた国際的なイニシアティブであるPall Mall Processへの参加について言及しました。
企業モバイルセキュリティが精査の対象に
CorunaキットはiOSの最新バージョンに対して効果がありません。GTIGはすべてのiPhoneユーザーにデバイスを直ちに更新するよう促し、更新ができない場合はロックダウンモードを有効にすることを推奨しました。このキットはそのモードで実行されているデバイスで中止するように設計されていることに留意しています。Googleはすべての特定されたドメインをセーフブラウジングに追加しました。侵害の指標は、VirusTotal上の無料GTIGコレクションで利用できます。
分析家らは、修復アドバイスは必要ですが、より深い設計上のギャップを露呈していると述べています。「ほとんどの企業モバイルセキュリティプログラムはデバイス管理ではなくデバイスインテグリティを中心に構築されていた」とGogia氏は述べています。「それらはオペレーティングシステム自体内で発生するエクスプロイテーションを検出するために設計されたことはありません。」
Goel氏はより直言的に述べています。「CorunaはMDMおよびアプリレイヤーのコントロール下に存在しています」と彼は述べています。「攻撃者がWebKitコード実行を確実に取得してカーネルレベルのアクセスへと脱出できる場合、デバイスは独自の状態について嘘をつく可能性があり、多くのポリシーコントロールは実際には無関係になります。」
