iOS 13.0~17.2.1を実行しているApple iPhoneを侵害できる高度なエクスプロイトキットがサイバーセキュリティ研究者によって発見されました。
Googleの脅威インテリジェンスグループ(GTIG)によると、内部的にCorunaという名称のツールキットは、5つの完全なエクスプロイトチェーンと23の脆弱性を含んでおり、デバイスに侵入し、機密の金融データを抽出するように設計されています。
新たに確認されたツールキットは、実際に観測されたiOSエクスプロイトの中で最も包括的なコレクションの一つです。GTIGによると、いくつかの手法は以前に見られたことのない悪用方法と緩和策のバイパスに依存しているとのことです。
2025年初頭に最初に観測されたこのツールキットは、商用監視ベンダーの顧客と最初にリンクされました。その後、調査官たちはウクライナのユーザーを標的とした非常に的を絞った攻撃での使用を追跡し、UNC6353として知られる疑いのあるロシアのスパイ集団に帰属させました。
Coronaエクスプロイトキットの機能
2025年後半までに、同じエクスプロイトフレームワークが再び、中国から活動する経済的利益を目的とした行為者に結びついたより広い範囲のキャンペーンに登場し、UNC6691として追跡されています。その場合、エクスプロイトはiPhoneでページにアクセスするよう被害者を誘い込むように設計された偽の金融および暗号資産ウェブサイトを通じて配布されました。
ウェブサイトは、iOSデバイスがページにアクセスするとエクスプロイトキットを静かに配信するための隠されたフレームを挿入しました。調査のこのフェーズ中に、研究者たちはツールキットの数百のサンプルを回収しました。
GTIGによると、エクスプロイトチェーンは、複数の脆弱性を組み合わせてオペレーティングシステムへのより深いアクセスを取得し、幅広い範囲のAppleデバイスとシステムバージョンを標的にしています。
iPhoneのサイバーセキュリティ脅威についてもっと読む: iOS 18.3.2は積極的に悪用されたWebKit脆弱性をパッチする
エクスプロイトを取り巻くフレームワークは高度に設計されています。正しいエクスプロイトチェーンを選択する前に、訪問者のデバイスをプロファイルして、iPhoneモデルとiOSバージョンを決定します。
-
特定のiPhoneモデルとソフトウェアバージョンを識別するデバイスフィンガープリント
-
互換性のあるWebKit脆弱性の自動選択
-
ポインタ認証などのAppleセキュリティ保護をバイパスするように設計された技術
-
ペイロード配信に使用されるカスタム暗号化および圧縮方法
研究者たちはまた、初期ブラウザエクスプロイトが成功した後に攻撃の最終段階を展開するバイナリローダーを観測しました。
財務データ盗難機能
エクスプロイトチェーンが完了すると、PlasmaLoaderと呼ばれるローダーがデバイス上のシステムプロセス内にインストールされます。従来の監視機能の代わりに、ペイロードは金融データ収集に焦点を当てています。
保存された画像をQRコードについてスキャンし、テキストファイルを「バックアップフレーズ」や「銀行口座」などの暗号資産ウォレット回復フレーズまたはキーワードについて検索できます。検出された場合、情報は攻撃者が管理するサーバーに送信されます。
Googleは、エクスプロイトキットは最新のiOSバージョンに対して効果がないと述べました。同社は関連する悪意のあるドメインをセーフブラウジングに追加し、ユーザーがデバイスを最新のソフトウェアリリースに更新するか、更新が不可能な場合はロックダウンモードを有効にすることを推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/coruna-exploit-older-iphones/
