Обнаружен фреймворк Coruna для массового взлома iPhone: от шпионажа до кражи криптовалют

Специалисты Google и iVerify отследили распространение Coruna среди трёх разных групп злоумышленников. Сначала его приобрёл клиент коммерческой компании по разработке шпионского ПО. Затем фреймворк оказался у группы UNC6353, которую связывают с российскими разведывательными операциями. Эта группа устраивала атаки типа "водопой" (когда вредоносные скрипты внедряются на легитимные сайты, посещаемые жертвами) против украинских пользователей. Третья группа - UNC6691, финансово мотивированные хакеры из Китая. Именно они развернули массовую кампанию по заражению iPhone через поддельные сайты.

Исследователи из iVerify назвали этот случай первым наблюдавшимся массовым применением инструментов государственного уровня для взлома iOS в криминальных целях. Код Coruna содержит подробные комментарии на безупречном английском языке, что указывает на профессиональных разработчиков. При этом часть эксплойтов использует уязвимости, которые ранее применялись в кампании Operation Triangulation, обнаруженной "Лабораторией Касперского" в 2023 году. Происхождение самого фреймворка остаётся неясным.

Ключевой эпизод произошёл 7 марта 2026 года, через два дня после публикации Google. Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило уязвимость CVE-2023-41974 в свой каталог известных эксплуатируемых уязвимостей (KEV). Срок устранения установлен до 26 марта 2026 года. Эта уязвимость типа use-after-free (использование после освобождения) в ядре iOS получила оценку 7,8 по шкале CVSS 3.1 (высокий уровень опасности). Она служит компонентом для повышения привилегий в цепочке Coruna. В официальном документе Национальной базы уязвимостей (NVD) прямо указан блог Google о Coruna как источник эксплойта.

Группа UNC6691 разместила набор эксплойтов Coruna на множестве поддельных китайских сайтов, посвящённых в основном финансам и криптовалютам. Конечная вредоносная нагрузка, получившая название PLASMAGRID, представляет собой установщик, который внедряется в системный процесс powerd, работающий с правами root. Архитектура вредоноса многоступенчатая. После закрепления в powerd он связывается с сервером управления (C2), загружает конфигурацию и развёртывает третий компонент CorePayload. Тот выполняется внутри процесса locationd и управляет всей дальнейшей активностью: загружает и внедряет дополнительные модули в запущенные процессы. Например, в процесс imagent внедряется модуль, берущий на себя связь с C2, включая резервный канал через SMS и iMessage. Отдельный модуль попадает в SpringBoard, но связывается не напрямую с C2, а через implant в locationd. Все внедрённые модули не имеют цифровой подписи.

Возможности PLASMAGRID нацелены на кражу криптовалют и личных данных. Вредонос может декодировать QR-коды из изображений, анализировать текстовые фрагменты на наличие BIP39-сид‑фраз (ключей для восстановления криптокошельков) и ключевых слов, таких как "backup phrase" или "bank account". Затем он отправляет найденное на сервер злоумышленников через зашифрованное HTTPS-соединение. Кроме того, implant в locationd напрямую просматривает фотографии и заметки Apple Notes и загружает их, а также перехватывает электронную почту. Таким образом, жертва теряет не только криптовалюты, но и конфиденциальные личные данные.

Полезная нагрузка получает удалённую конфигурацию для загрузки дополнительных модулей, нацеленных на конкретные приложения. Google обнаружил 18 таких модулей для криптокошельков, включая MetaMask, Trust Wallet, Phantom, Uniswap и TonKeeper. iVerify независимо нашёл модули для WhatsApp и OKEx. Это говорит о том, что набор активно развивается и расширяет список целей.

Языковая структура кода также примечательна. Эксплойты написаны с комментариями на чистом английском, а модули PLASMAGRID содержат строки логирования на китайском, а некоторые комментарии, вероятно, сгенерированы нейросетями. Такое разделение указывает, что разработчики эксплойтов и группа UNC6691 - разные лица.

Важно, что вредонос не обладает механизмом закрепления в системе (persistence) и находится преимущественно в оперативной памяти. Перезагрузка устройства очищает заражение, но пользователь может быть заражён снова, если снова зайдёт на вредоносный сайт. Анализ JavaScript-кода показал, что вся цепочка от посещения "водопоя" до кражи данных выполняется в браузере без записи файлов на диск.

Доставка эксплойта происходит через скрытый iFrame, который внедряется на сайты, контролируемые UNC6691. Фреймворк определяет модель iPhone и версию iOS, затем выбирает подходящий эксплойт для WebKit (удалённое выполнение кода), после чего следует обход механизма аутентификации указателей (PAC). Для заражения пользователю достаточно просто зайти на сайт - никаких дополнительных действий не требуется. При этом цепочки эксплойтов не содержат одноразовых ссылок или привязки к конкретным целям: любой уязвимый iPhone может быть заражён многократно.

Среди использованных уязвимостей - CVE-2024-23222 (ошибка типа type confusion в WebKit для iOS 16.6-17.2.1), CVE-2022-48503 (выход за границы памяти в WebKit для iOS 15.2-15.5), CVE-2023-32409 (побег из песочницы WebKit), CVE-2023-32434 (целочисленное переполнение ядра) и CVE-2023-38606 (обход защиты страниц PPL). Последние две ранее применялись в Operation Triangulation. Набор также включает продвинутые методы обхода аппаратных защит Apple.

Фреймворк использует три независимых пути получения RCE через WebKit, выбираемые в зависимости от платформы и версии Safari. После получения базового доступа цепочка проходит через четыре этапа эскалации: преобразование WebAssembly-модуля в вызовы нативного кода, атака на PAC через подмену записей глобальной таблицы смещений, выделение исполняемой памяти и обход проверки целостности JIT-кода. Последний этап особенно изощрён: злоумышленник пересчитывает хеши PACDB прямо в JavaScript, используя аппаратные ключи процесса, и ядро не отличает поддельные хеши от легитимных.

Несмотря на высокую сложность, Coruna неэффективна против последних версий iOS. Часть цепочки была исправлена в iOS 17.3. Основная рекомендация - немедленно обновить устройства до актуальной версии. Если обновление невозможно, стоит включить режим блокировки (Lockdown Mode), который предотвращает загрузку эксплойтов. Для организаций, чьи устройства могли посещать вредоносные сайты, необходимо проверить логи на наличие индикаторов компрометации, таких как файл com.apple.photolibraryd.plist в папке настроек, аномальный сетевой трафик от процессов powerd и imagent, а также записи в истории Safari. Перезагрузка устройства - временная мера, но для полного устранения угрозы нужно сбросить пароли от всех онлайн-сервисов, доступ к которым был с устройства, и включить двухфакторную аутентификацию.

История с Coruna демонстрирует, как инструменты, созданные для целевого шпионажа, через нерегулируемый рынок эксплойтов попадают в руки массовых преступников. Это повторяет сценарий EternalBlue 2017 года, но теперь на мобильных устройствах. Пока регулирование отстаёт, пользователям остаётся полагаться только на своевременное обновление и осторожность.

Domains

• 8fn4957c5g986jp.xyz
• aidm8it5hf1jmtj.xyz
• b27.icu
• iphonex.mjdqw.cn
• mxbc-v2.tjbjdod.cn
• uawwydy3qas6ykv.xyz