iPhone под угрозой – обновлённый эксплойт-фреймворк Coruna связан с Operation Triangulation

Фреймворк эксплойтов для iOS Coruna связан с атаками Operation Triangulation

Комплекс инструментов Coruna является развитием фреймворка, который использовался в шпионской кампании Operation Triangulation. В 2023 году в рамках этой кампании атакующие нацеливались на iPhone, используя уязвимости в iMessage, не требующие действий со стороны пользователя.

В новой версии ПО расширили: теперь оно поддерживает современные устройства, включая чипы Apple A17 и M3, а также ОС вплоть до iOS 17.2.

В составе Coruna обнаружено пять полноценных цепочек эксплуатации уязвимостей iOS, в которых используется в общей сложности 23 уязвимости. Среди них — CVE-2023-32434 и CVE-2023-38606, которые уже применялись в Operation Triangulation.

Исследователи «Лаборатории Касперского» проанализировали код эксплойтов для двух указанных уязвимостей и пришли к выводу, что Coruna использует обновленную версию того же инструмента, который применялся в Operation Triangulation. По их данным, развитие этой технологии ведется как минимум с 2019 года.

Дополнительные совпадения в коде позволили специалистам сделать вывод, что Coruna является прямым продолжением вредоносного фреймворка, использовавшегося в кампании Triangulation. Тогда атаки также были направлены на iPhone, в том числе устройства внутри сети «Лаборатории Касперского».

Исследователи сообщили:

В ходе анализа мы обнаружили, что эксплойт уровня ядра для уязвимостей CVE-2023-32434 и CVE-2023-38606, используемый в Coruna, на самом деле представляет собой обновленную версию того же эксплойта, который применялся в Operation Triangulation.

Анализ «Лаборатории Касперского» показывает, что атака начинается в браузере Safari. Сначала загружается небольшой модуль, который собирает информацию об устройстве: определяет его характеристики и подбирает подходящие эксплойты для удаленного выполнения кода и обхода защитных механизмов. После этого он получает зашифрованные данные, необходимые для следующих этапов атаки.

Attack chain of Operation Triangulation (simplified) — упрощённая схема цепочки атаки Operation Triangulation: заражение через iMessage, выполнение эксплойтов и установка шпионского ПО.

Attack chain of Coruna (simplified) — упрощённая схема цепочки атаки Coruna: определение устройства, подбор эксплойтов, загрузка зашифрованных модулей и установка вредоносной нагрузки.

Далее вредоносная нагрузка скачивает дополнительные зашифрованные компоненты. Они расшифровываются с помощью алгоритма ChaCha20, затем распаковываются методом LZMA и обрабатываются в специальном формате, чтобы извлечь информацию о пакетах.

На основе архитектуры устройства и версии iOS система выбирает нужные инструменты для атаки: эксплойт уровня ядра, загрузчик Mach-O и модуль запуска. С их помощью на устройство устанавливается шпионское ПО.

По данным «Лаборатории Касперского», вредоносные компоненты поддерживают устройства с архитектурами ARM64 и ARM64E. Также в коде явно предусмотрены проверки для чипов A17, M3, M3 Pro и M3 Max.

Идентификаторы пакетов и системные проверки показывают, что атаки могут быть направлены на устройства со следующими версиями iOS:

• iOS ниже 14.0 beta 7
• iOS ниже 14.7
• iOS ниже 16.5 beta 4
• iOS ниже 16.6 beta 5
• iOS ниже 17.2

Борис Ларин, ведущий исследователь безопасности из Kaspersky Global Research and Analysis Team (GReAT), заявил, что связь Coruna с кампанией Triangulation стала очевидной после анализа бинарных файлов фреймворка:

Coruna — это не набор случайных публичных эксплойтов, а постоянно развиваемая версия оригинального фреймворка Operation Triangulation.

Разработчики продолжили дорабатывать инструмент: в него добавили проверки для новых процессоров, таких как M3, а также для более свежих версий iOS.

При этом Coruna начали использовать не только для шпионажа. Фреймворк применялся и в финансово мотивированных атаках — например, для кражи криптовалюты через поддельные сайты криптобирж. Ларин отмечает, что «инструмент, который изначально создавался для точечных шпионских операций, теперь используется без разбора».

Кампания Operation Triangulation представляла собой сложную шпионскую операцию против iPhone. В ней применялись несколько уязвимостей нулевого дня, которые позволяли незаметно заражать устройства и устанавливать шпионское ПО.

Атаку обнаружили специалисты «Лаборатории Касперского» в июне 2023 года во время мониторинга внутренней Wi-Fi сети. При этом сама кампания началась примерно за четыре года до этого.

Позже, в конце 2023 года, те же исследователи выяснили, что в атаках использовались недокументированные возможности чипов Apple. Это позволяло обходить встроенные аппаратные механизмы защиты.

Ранее в марте специалисты компаний Lookout, iVerify и Google сообщили о другом наборе эксплойтов под названием DarkSword exploit kit. Как и Coruna, этот инструмент используется разными группами злоумышленников, в основном для шпионских операций. При этом DarkSword уже стал публично доступен, что повышает риск его использования киберпреступниками против iPhone без актуальных обновлений безопасности.

Компания Apple выпустила официальный бюллетень, в котором сообщила, что все выявленные уязвимости закрыты. Исправления уже доступны в обновлениях безопасности как для последних версий iOS, так и для более ранних устройств.