iOS エクスプロイトフレームワークにより、高度なモバイル攻撃ツールがいかに迅速に監視作戦からスパイ活動および金融犯罪に転用されるかが明らかになりました。
Google の脅威インテリジェンスグループ(GTIG)は、2025年を通じて数千台の iPhone を侵害するために使用された、5つのエクスプロイトチェーンにまたがる23個の脆弱性を含む強力なエクスプロイトキット「Coruna」を特定しました。
「このエクスプロイトキットの中核となる技術的価値は、iOS エクスプロイトの包括的なコレクションにあり、最も高度なものは非公開の搾取技術と軽減バイパスを使用しています」と研究者は述べています。
Coruna iOS エクスプロイトフレームワークの内部
Google の脅威インテリジェンスグループ(GTIG)によると、Coruna は 2019年9月から2023年12月の間にリリースされた iOS バージョンを実行している Apple デバイスをターゲットにすることが可能でした。
研究者は、脅威アクターがフレームワークのデバッグバージョンを誤ってデプロイし、エクスプロイトキット内に埋め込まれた内部コード名とドキュメントを誤って暴露した後、ツールキットを発見しました。
この発見により、フレームワークの構造がどのように設計されていたか、そしてそのエクスプロイトチェーンが異なる iOS バージョンをターゲットにするためにどのように設計されたかについて、稀な洞察が提供されました。
複数の脅威アクターにわたる Coruna の追跡
GTIG の研究者は、2025年を通じて3つの異なる脅威アクターのエコシステムにわたって Coruna を追跡することもできました。これは、高度なエクスプロイトフレームワークがサイバー脅威ランドスケープ全体にどのように流通するかについての稀な一見を提供しました。
多くの場合、当初監視目的で開発された高度なツールは、その後国家が後援するスパイ活動グループと経済的動機を持つサイバー犯罪者によって再利用または転用されます。
Coruna のマルチステージ攻撃キャンペーン
Coruna を含む最初に観察された活動は2025年2月に発生しました。研究者は、以前は未知の JavaScript フレームワークを通じて配信されたエクスプロイトチェーンのコンポーネントを特定しました。
このコードは、iPhone モデルとインストール済みの iOS バージョンを識別することによってデバイスをフィンガープリントして、その後カスタムメイドのエクスプロイトを配信するように設計されました。
互換性のあるターゲットが識別されると、フレームワークは WebKit リモートコード実行(RCE)脆弱性に続いてポインタ認証コード(PAC)バイパスをトリガーし、攻撃者がデバイス上で悪意のあるコードを実行し、エクスプロイトチェーンをさらに進めることを可能にしました。
2025年の夏までに、同じインフラストラクチャが UNC6353 として追跡されるロシアのスパイ活動グループに関連するキャンペーンに表示されました。
このフェーズでは、攻撃者は小売、工業サービス、e コマースなどの業界にまたがる数十の侵害された ウクライナのウェブサイトに悪意のあるコードを注入しました。
エクスプロイトチェーンは、ドメイン cdn.uacounter[.]com でホストされた隠れた iFrame を通じて配信されました。
検出を減らし、ターゲティングの精度を向上させるために、エクスプロイトは特定の地理的地域に位置する iPhone ユーザーに対してのみ選択的にトリガーされました。
2025年後半に、研究者は完全な Coruna エクスプロイトキットが UNC6691 として追跡される経済的動機を持つ中国の脅威グループに起因するキャンペーンで使用されていることを発見しました。
このステージでは、攻撃者は、被害者を iPhone からページにアクセスするように誘うために設計された不正な暗号通貨および金融ウェブサイトのネットワーク全体にエクスプロイトをデプロイしました。
一つの例には、WEEX 暗号通貨交換に偽装した偽のウェブサイトが含まれており、ユーザーにモバイルデバイスからプラットフォームにアクセスするように促すポップアッププロンプトが表示されてエクスプロイトチェーンをトリガーしました。
Coruna エクスプロイトキットの仕組み
その核において、Coruna は5つの完全な攻撃チェーンに組織された23個のエクスプロイトを含んでおり、攻撃者が初期ブラウザ侵害からデバイスの完全な制御に進行することを可能にしています。
フレームワークは、WebKit メモリ破損の脆弱性、サンドボックスエスケープの脆弱性、権限昇格技術、および攻撃者がオペレーティングシステムに対してより深い制御を獲得することを可能にする Page Protection Layer(PPL)バイパスを含む複数の脆弱性クラスを組み合わせています。
- CVE-2021-30952 – WebKit 読み取り/書き込み脆弱性
- CVE-2023-32409 – サンドボックスエスケープの脆弱性
- CVE-2023-32434 – 権限昇格の脆弱性
- CVE-2024-23222 および CVE-2024-23225 – Page Protection Layer(PPL)バイパス技術
フレームワーク内の2つのエクスプロイト(Photon および Gallium)は、以前 Operation Triangulation に関連付けられていました。これは2023年に Kaspersky によって発見された高知名度の iOS スパイ活動キャンペーンです。
Coruna での再利用は、脅威アクターがいかに以前発見された脆弱性を新しい搾取技術と組み合わせて、より高度で信頼性の高い攻撃フレームワークを構築するかを示しています。
Coruna が暗号通貨を盗む方法
エクスプロイトチェーンがデバイスを正常に侵害した後、Coruna は PlasmaLoader として知られる最終段階のペイロードをデプロイします。これは研究者によって PLASMAGRID として追跡されます。
マルウェアは powerd に自身を注入します。これは root レベルの iOS システムデーモンであり、検出を回避するために正当な Apple サービス識別子に偽装しています。
インストール後、マルウェアは主に金融盗難に焦点を当てています。
研究者は PlasmaLoader が、MetaMask、Phantom、BitKeep を含む少なくとも18の暗号通貨ウォレットアプリケーション内の関数をフックできることを発見しました。これにより、攻撃者が機密ウォレットデータをインターセプトできます。
マルウェアは Apple Notes を BIP39 シードフレーズまたは「バックアップフレーズ」および「銀行口座」などのキーワードについてもスキャンします。これにより、攻撃者が暗号通貨ウォレットを復旧し、デジタル資産を盗むことを可能にします。
エクスプロイトフレームワークの複雑さにもかかわらず、Google の研究者は Coruna が最新バージョンの iOS に対して効果的でないことに注目しており、既知の脆弱性から保護するためにモバイルデバイスを完全に更新することの重要性を強調しています。
セキュリティチームがモバイルリスクを軽減する方法
攻撃は複数の脆弱性、ウェブベースの配信、搾取後のデータ盗難に依存しているため、効果的な防御は階層化されたモバイルセキュリティ戦略が必要です。
- すべての iPhone が最新の iOS バージョンに更新されていることを確認し、モバイルデバイス管理(MDM)を通じて自動 パッチ適用を実施します。
- 高リスクまたはエグゼクティブデバイスで Apple Lockdown Mode を有効にします。Coruna はこの機能がアクティブなときに搾取を終了します。
- MDM と統合されたモバイル脅威防御(MTD)ソリューションをデプロイして、エクスプロイト試行、疑わしい 動作、および異常なネットワーク活動を検出します。
- ネットワークトラフィックを監視して侵害のインジケーターを検出します。これには、疑わしい *.xyz ドメインへの接続と、sdkv または x-ts などの異常な HTTP ヘッダーが含まれます。
- 未検証の金融および暗号通貨ウェブサイトへのアクセスを制限し、暗号ウォレットなどの高リスクアプリケーションの企業デバイスへのインストールを制限します。
- エンタープライズ iOS 構成をハードニングし、アプリ許可リストを実施し、信頼されていないプロファイルを制限し、不要なデバイスサービスまたは共有機能を制限します。
- 定期的に インシデント対応計画 およびモバイルセキュリティプレイブックをテストして、チームがモバイルデバイスの侵害を迅速に検出、調査、および封じ込めることができることを確認します。
これらの対策を実装することにより、組織はモバイル侵害の潜在的な影響範囲を制限しながら回復力を構築できます。
モバイルデバイスが成長している攻撃面のままである理由
Coruna キャンペーンは、高度なエクスプロイトフレームワークがどのように異なる脅威アクターや使用事例を時系列で移動でき、監視作戦からスパイ活動および経済的に動機づけられた活動に転用されるかを示しています。
モバイルデバイスは企業データ、認証情報、および金融アプリケーションを保存するため、エンタープライズ攻撃面の重要な部分のままです。
セキュリティチームにとって、このケースはスマートフォンを一貫性のあるパッチ、可視性、およびセキュリティ制御を備えたエンタープライズエンドポイントとして管理することの重要性を強化しています。
組織はモバイルセキュリティとエンドポイントの可視性を強化するため、多くの組織は ゼロトラストソリューション に目を向けており、それらの環境全体にわたって継続的な検証と厳しいアクセス制御を実施するのに役立ちます。
翻訳元: https://www.esecurityplanet.com/threats/coruna-ios-exploit-kit-compromises-thousands-of-iphones/
