Найден ИТ-инструмент
Специалисты Google и iVerify обнаружили ИТ-инструмент для взлома iPhone, который с 2024 г. переходил из рук в руки между разными группами злоумышленников, предупреждает команда Google Threat Intelligence Group (GTIG). ИТ-инструмент сначала применяли в точечных операциях слежки, позже использовали в шпионских кибератаках против пользователей на Украине, а затем тот же набор оказался у китайских мошенников.
Специалисты GTIG провели анализ эксплойт-кита под условным названием Coruna и выявили в его составе пять полноценных цепочек эксплуатации ИТ-уязвимостей, а также 23 отдельные ИТ-уязвимости в операционной системе (ОС) iOS.
Указанный набор предназначен для проведения кибератак на устройства iPhone, работающие под управлением версий iOS от 13.0 (выпущена в сентябре 2019 г.) до 17.2.1 (опубликована в декабре 2023 г.).
Некоторые из применяемых методов обхода защитных механизмов ранее не были публично раскрыты и позволяют эффективно преодолевать встроенные в iOS средства безопасности, включая Pointer Authentication Codes (PAC) и другие mitigation-техники (механизм защиты, направленный на смягчение последствий эксплуатации ИТ-уязвимости). Актуальные версии iOS (начиная с 17.3 и выше) содержат исправления ИТ-уязвимостей, использованных в составе Coruna, и не подвержены указанным кибератакам. Рекомендуется своевременно обновлять ОС до последних доступных версий.
Высокая активность
В феврале 2025 г. специалисты iVerify перехватили часть цепочки кибератаки, которую использовал клиент коммерческой компании, продающей ИТ-системы слежки. Вредоносный код работал через сложный JavaScript-фреймворк с необычной обфускацией. Скрипт сначала собирал сведения об устройстве: проверял, настоящий ли телефон, определял модель iPhone и версию iOS. Затем сервер отправлял подходящую ИТ-уязвимость для движка WebKit и механизм обхода защиты Pointer Authentication Code. Один из таких эксплойтов использовал уязвимость CVE-2024-23222, который программисты Apple закрыли в январе 2024 г. вместе с выпуском iOS 17.3.
В летний период 2025 г. тот же JavaScript-фреймворк был зафиксирован в рамках другой вредоносной кампании. Злоумышленники внедрили вредоносный код на десятки скомпрометированных веб-ресурсов Украины, включая сайты розничных магазинов, сервисных компаний и электронных торговых площадок. Зараженные страницы незаметно для пользователя загружали скрытый iframe, который осуществлял доставку эксплойт-кита исключительно целевым пользователям устройств iPhone, находящимся в определенных географических регионах. Данную активность специалисты по информационной безопасности (ИБ) iVerify связали с деятельностью группы UNC6353. После выявления ИТ-инцидента эксперты оперативно уведомили украинскую команду реагирования на компьютерные чрезвычайные события CERT-UA и оказали содействие в очистке и восстановлении зараженных веб-ресурсов.
К концу 2025 г. эксплойт-кит Coruna был вновь зафиксирован в рамках новой масштабной вредоносной кампании. На этот раз хакеры развернули вредоносный код на сотнях поддельных веб-ресурсов на китайском языке, преимущественно имитирующих финансовые онлайн-сервисы, криптовалютные биржи и связанные с ними онлайн-платформы. Мошеннические страницы содержали механизмы убеждения посетителей открывать сайт исключительно с устройств iPhone (в частности, с помощью всплывающих окон и специальных призывов). При доступе с iOS-устройства страница незаметно внедряла скрытый iframe, который запускал доставку того же набора эксплойтов Coruna. Кампания была направлена на массовое заражение ИТ-уязвимых устройств под управлением iOS (версии от 13.0 до 17.2.1) с последующей установкой вредоносного программного обеспечения (ПО), ориентированного на кражу данных криптовалютных кошельков, seed-фраз, финансовых учетных данных и другой конфиденциальной информации. Данную активность специалисты связывают с финансово-мотивированной группировкой хакеров UNC6691.
Анализ эксплойт-кита
В одном из случаев, хакеры случайно развернули отладочную версию комплекта. В коде остались названия модулей и внутренних компонентов. Благодаря этой ошибке специалисты iVerify и узнали внутреннее имя набора — Coruna. Анализ нескольких сотен образцов позволил восстановить пять полных цепочек ИТ-атак.
Архитектура эксплойт-кита Coruna отличается высокой сложностью и многоуровневой защитой от обнаружения и анализа. Скрипт немедленно прекращает выполнение в случае активации на устройстве режима повышенной защиты либо при открытии сайта в режиме приватного просмотра. Для загрузки дополнительных ИТ-компонентов используется закодированная cookie-метка уникального типа. Адреса ресурсов генерируются динамически путем вычисления SHA-256-хеша от комбинации значения этой cookie и идентификатора ресурса (с последующим взятием первых 40 символов результата хеша).
После успешной эксплуатации ИТ-уязвимости в движке WebKit (обеспечивающей удаленное выполнение кода — RCE) запускается бинарный загрузчик. Он выполняет процесс сбора данных с устройства и подбирает оптимальную цепочку эксплойтов, соответствующую конкретной модели iPhone и версии iOS. Полезная нагрузка (включая последующие этапы эксплуатации, такие как обход PAC, эскалация привилегий и установка импланта) хранится в зашифрованном виде и маскируется под легитимные JavaScript-файлы, что существенно затрудняет статический и динамический анализ.
После получения полного контроля над устройством запускается загрузчик, и ИТ-компонент внедряется в системный процесс, работающий с правами администратора. Дальнейшая активность показала, что конечная цель кибератак — не слежка, а кража финансовых данных.
Вредоносный модуль, устанавливаемый после успешной эксплуатации, выполняет поиск конфиденциальной информации на устройстве. В частности, он сканирует хранилище изображений (фотогалерею) на наличие quick response (QR)-кодов, содержащих данные криптовалютных кошельков, и осуществляет их декодирование для извлечения seed-фраз или приватных ключей. Кроме того, модуль проводит анализ текстовых данных и файлов, включая содержимое приложения (Apple Notes/Мемо). Программа ищет последовательности слов из стандартного словаря BIP-39 (мнемонические фразы восстановления кошельков), а также ключевые фразы на английском и других языках, такие как «backup phrase», «seed phrase», «recovery phrase», «bank account», «счет в банке» и аналогичные. При обнаружении совпадений (в том числе в заметках) вредоносный код извлекает соответствующие данные и отправляет их на сервер управления и контроля (C2) злоумышленников для последующего использования в целях кражи криптоактивов или другой финансовой информации.
Кроме того, программа может загружать дополнительные модули. Каждый модуль перехватывает работу популярных криптовалютных приложений, среди которых MetaMask, Trust Wallet, Exodus, Phantom и другие кошельки. Журналы работы модулей написаны на китайском языке, что косвенно указывает на происхождение операторов.
Распространение и смена предназначений
По данным GTIG, история эксплуатации набора Coruna ярко иллюстрирует процесс постепенного распространения высокотехнологичных ИТ-инструментов взлома между различными акторами.
Указанная последовательность использования от ИТ-инструментов слежки до кибершпионаж и финансового мошенничества, свидетельствует о существовании активного теневого рынка, на котором происходит купля-продажа или перепродажа дорогостоящих ИТ-уязвимостей нулевого дня. Точный механизм передачи ИТ-инструмента между акторами остается неустановленным, однако подобная пролиферация подчеркивает риски утечки и повторного использования передовых техник, изначально разработанных для ограниченного круга заказчиков.
Это наблюдение согласуется с более широкими выводами GTIG о тенденции распространения сложных возможностей между государственными и негосударственными заинтересованными лицами. В случаях, когда обновление до последней версии iOS по каким-либо причинам невозможно (например, из-за устаревшей модели устройства), специалисты советуют активировать режим повышенной защиты. Данный режим существенно ограничивает поверхность кибератаки, блокируя многие векторы эксплуатации, включая те, которые использует Coruna.
Поделиться
