Фахівці Google Threat Intelligence Group виявили новий потужний exploit-kit під назвою Coruna (також відомий як CryptoWaters), який використовує 23 експлойти в межах п’яти повноцінних ланцюгів атак для компрометації iPhone з версіями iOS від 13.0 до 17.2.1. Інструмент не працює на останніх версіях операційної системи Apple, однак дослідники називають його одним із найскладніших наборів експлойтів для iOS, які коли-небудь потрапляли до рук різних груп зловмисників.
За даними Google, exploit-kit містить комплексну інфраструктуру атак, яка дозволяє автоматично визначати модель iPhone та версію iOS, після чого підбирати відповідний ланцюг експлуатації.
“The core technical value of this exploit kit lies in its comprehensive collection of iOS exploits, with the most advanced ones using non-public exploitation techniques and mitigation bypasses.”
Після визначення параметрів пристрою JavaScript-фреймворк запускає WebKit exploit для віддаленого виконання коду (RCE), а потім використовує механізм обходу Pointer Authentication Code (PAC) для подальшого доступу до системи. Один із ключових експлойтів пов’язаний з уразливістю CVE-2024-23222, яка була виправлена Apple у січні 2024 року в iOS 17.3 та iPadOS 17.3.
Дослідники встановили, що Coruna циркулює серед різних груп атакувальників щонайменше з лютого 2025 року. Спочатку інструмент використовувався у комерційних системах стеження, потім потрапив до державних хакерських операцій, а пізніше — до кримінальних кіберугруповань, пов’язаних із Китаєм.
У липні 2025 року експлойт-фреймворк був виявлений на домені cdn.uacounter[.]com, який завантажувався як прихований iframe на зламаних українських сайтах. Серед них були ресурси, пов’язані з промисловим обладнанням, сервісами, інструментами для бізнесу та електронною комерцією. За оцінками дослідників, за кампанією могла стояти російська шпигунська група UNC6353. У цьому випадку exploit-kit доставлявся лише користувачам iPhone з певної геолокації.
Подальший аналіз показав, що наприкінці 2025 року exploit-kit почали використовувати фінансово мотивовані кіберзлочинці. У грудні було виявлено мережу фейкових китайських сайтів, які пропонували користувачам відкрити сторінку саме з iPhone або iPad. Після відкриття сторінки в браузері пристрою завантажувався прихований iframe, який доставляв exploit-kit Coruna. Дослідники також знайшли debug-версію інструмента, що дозволило визначити повний набір атак. Усього було ідентифіковано 23 експлойти, які працюють проти різних версій iOS від 13 до 17.2.1.
Серед використаних уразливостей:
CVE-2020-27932
CVE-2020-27950
CVE-2021-30952
CVE-2022-48503
CVE-2023-32409
CVE-2023-32434
CVE-2023-38606
CVE-2023-41974
CVE-2023-43000
CVE-2024-23222
CVE-2024-23225
CVE-2024-23296
Деякі з цих уразливостей раніше використовувалися як zero-day під час операції Triangulation, що свідчить про високий рівень складності атак.
Шкідлива програма також використовує алгоритм генерації доменів (DGA) із seed-рядком “lazarus”, створюючи домени довжиною 15 символів у зоні .xyz. Exploit-kit Coruna демонструє нову тенденцію в кіберзлочинності: інструменти, які раніше використовувалися виключно для цільових шпигунських операцій, поступово переходять у руки масових кіберзлочинців. Це означає, що складні атаки на мобільні пристрої можуть стати значно поширенішими. Дослідники рекомендують користувачам регулярно оновлювати iOS та використовувати режим Lockdown Mode, який блокує частину експлойтів.
