Специалисты Google обнаружили мощный набор уязвимостей Coruna, угрожающий миллионам iPhone

Комплект Coruna содержит пять полных цепочек эксплуатации уязвимостей iOS и в общей сложности 23 отдельных эксплойта. Его главная ценность заключается в глубоком охвате: он включает как известные, так и не публиковавшиеся ранее техники эксплуатации и обхода систем защиты. Анализ показывает, что разработчики набора владели глубокими знаниями о внутреннем устройстве iOS, о чём свидетельствуют обширные комментарии и документация на английском языке в коде. Набор умеет обходить ключевые механизмы безопасности Apple, такие как Pointer Authentication Code (механизм проверки целостности указателей в памяти) и Page Protection Layer (PPL, технология защиты страниц памяти в ядре).

История обнаружения Coruna, подробно описанная в исследовании GTIG, служит хрестоматийным примером эволюции угрозы. Впервые фрагменты этих эксплойтов были замечены в феврале 2025 года при использовании клиентом одного из коммерческих производителей шпионского ПО. Уже летом того же года идентичный JavaScript-фреймворк был развернут в рамках тактики «отравленного водопоя» (watering hole attack) на скомпрометированных украинских сайтах. Эту кампанию эксперты связывают с группой UNC6353. Наконец, к концу 2025 года полный набор эксплойтов был обнаружен в массовых кампаниях группы UNC6691, мотивированной финансовой выгодой и базирующейся, предположительно, в Китае. Путь, которым Coruna попал от государственных акторов к финансовым мошенникам, остаётся неясным, однако он явно указывает на существование активного рынка «вторых рук» для уязвимостей нулевого дня.

Технически фреймворк Coruna демонстрирует высокий уровень инженерной проработки. Он начинает работу с модуля снятия цифровых отпечатков, который собирает данные об устройстве, чтобы убедиться, что это реальный iPhone, и определить его модель и версию iOS. Это позволяет загрузить именно ту цепочку эксплойтов, которая будет эффективна. Интересно, что система проверяет, включён ли на устройстве режим повышенной безопасности Lockdown Mode или приватный режим браузера, и в таких случаях немедленно прекращает работу, чтобы избежать обнаружения. После успешного выполнения удалённого исполнения кода в движке WebKit, набор загружает соответствующий двоичный загрузчик, который, в свою очередь, доставляет финальную полезную нагрузку.

Конечная цель атак различалась в зависимости от оператора. В случае с финансово мотивированными китайскими группами полезная нагрузка, известная как PlasmaLoader, была нацелена исключительно на кражу средств. Она внедрялась в системный процесс powerd, работающий с привилегиями root, и обладала широким спектром функций для кражи финансовой информации. Модули могли анализировать изображения на диске в поисках QR-кодов, сканировать текстовые заметки в приложении Apple Memos на наличие сид-фраз (BIP39) или ключевых слов вроде «резервная фраза» и «банковский счёт». Более того, система была модульной и могла дистанционно загружать дополнительные компоненты для перехвата данных из конкретных криптовалютных кошельков, таких как MetaMask, Trust Wallet, Phantom и многих других. Примечательно, что логи и комментарии в коде этих модулей были написаны на китайском языке, а некоторые формулировки, включая эмодзи, указывали на возможное использование больших языковых моделей (LLM) для генерации кода.

Для специалистов по информационной безопасности этот случай является важным напоминанием о нескольких ключевых принципах. Во-первых, он подчёркивает критическую важность своевременного обновления программного обеспечения. Комплект Coruna неэффективен против последних версий iOS, поскольку все использованные в нём уязвимости уже были закрыты Apple в обновлениях, выпущенных к моменту публикации отчёта. Пользователям настоятельно рекомендуется обновить свои устройства до актуальной версии iOS. Во-вторых, для устройств, которые по каким-либо причинам не могут быть обновлены, активация режима Lockdown Mode становится эффективной мерой защиты, так как фреймворк Coruna специально проверяет его наличие и отступает. В-третьих, история распространения Coruna демонстрирует, что даже самые изощрённые инструменты, созданные для целевых атак, рано или поздно могут быть использованы в массовых мошеннических кампаниях, что расширяет круг потенциальных жертв.

Таким образом, обнаружение Coruna - это не просто история о технически продвинутом наборе эксплойтов. Это наглядный урок о цикле жизни современных цифровых угроз, где границы между государственным шпионажем и криминалом становятся всё более размытыми, а стоимость проникновения в защищённые экосистемы, благодаря чёрному рынку, постепенно снижается, требуя от всех участников цифрового пространства постоянной бдительности и дисциплины в вопросах кибергигиены.

Domains

• 2s3b3rknfqtwwpo.xyz
• 6zvjeulzaw5c0mv.xyz
• 8fn4957c5g986jp.xyz
• b38w09ecdejfqsf.xyz
• com.sixdays.trust
• com.solflare.mobile
• com.tonhub.app
• com.uniswap.mobile
• eg2bjo5x5r8yjb5.xyz
• gdvynopz3pa0tik.xyz
• gqjs3ra34lyuvzb.xyz
• hfteigt3kt0sf3z.xyz
• hui4tbh9uv9x4yi.xyz
• im.token.app
• lk4x6x2ejxaw2br.xyz
• lsnngjyu9x6vcg0.xyz
• o08h5rhu2lu1x0q.xyz
• ol67el6pxg03ad7.xyz
• org.mytonwallet.app
• pen0axt0u476duw.xyz
• rlau616jc7a7f7i.xyz
• roy2tlop2u.xyz
• sf2bisx5nhdkygn3l.xyz
• uawwydy3qas6ykv.xyz
• v2gmupm7o4zihc3.xyz
• vvri8ocl4t3k8n6.xyz
• xfal48cf0ies7ew.xyz
• xittgveqaufogve.xyz
• xjslbdt9jdijn15.xyz
• xmmfrkq9oat1daq.xyz
• yvgy29glwf72qnl.xyz
• zcjdlb5ubkhy41u.xyz
• ztvnhmhm4zj95w3.xyz

URLs

• http://bestcryptocurrency.top/details/group.html
• http://cdn.uacounter.com/stat.html
• http://cryptocurrencyworld.top/details/group.html
• http://ddus17.com/tuiliu/group.html
• http://goodcryptocurrency.top/details/group.html
• http://land.777bingos.xyz/88k4ez/group.html
• http://land.77bingos.com/88k4ez/group.html
• http://land.bingo777.now/88k4ez/group.html
• http://pepeairdrop01.com/static/analytics.html
• https://26a.online/group.html
• https://3v5w1km5gv.xyz/group.html
• https://4kgame.us/group.html
• https://4u.game/group.html
• https://65sse.668ddf.cc/tuiliu/group.html
• https://7ff.online/group.html
• https://7fun.icu/group.html
• https://7p.game/group.html
• https://7uspin.us/group.html
• https://98a.online/group.html
• https://ai-scorepredict.com/static/analytics.html
• https://ajskbnrs.xn--jor0b302fdhgwnccw8g.com/gogo/list.html
• https://anygg.liquorfight.com/88k4ez/group.html
• https://b27.icu/group.html
• https://binancealliancesintro.com/group.html
• https://btrank.top/tuiliu/group.html
• https://cy8.top/group.html
• https://dbgopaxl.com/static/goindex/tuiliu/group.html
• https://dd9l7e6ghme8pbk.xyz/group.html
• https://fxrhcnfwxes90q.xyz/group.html
• https://goanalytics.xyz/88k4ez/group.html
• https://goodcryptocurrency.top/details/group.html
• https://h4k.icu/group.html
• https://i.binaner.com/group.html
• https://ios.teegrom.top/tuiliu/group.html
• https://iphonex.mjdqw.cn/tuiliu/group.html
• https://k96.icu/group.html
• https://kanav.blog/group.html
• https://land.bingo777.now/88k4ez/group.html
• https://lddx3z2d72aa8i6.xyz/group.html
• https://m.pc6.com/test/tuiliu/group.html
• https://mkkku.com/static/analytics.html
• https://n49.top/group.html
• https://ose.668ddf.cc/tuiliu/group.html
• https://osec2.668ddf.cc/tuiliu/group.html
• https://pepeairdrop01.com/static/analytics.html
• https://res54allb.xn--xkrsa0078bd6d.com/group.html
• https://sadjd.mijieqi.cn/group.html
• https://seven7.to/group.html
• https://seven7.vip/group.html
• https://share.4u.game/group.html
• https://share.7p.game/group.html
• https://sj9ioz3a7y89cy7.xyz/list.html
• https://so5083.tubeluck.com/static/goindex/group.html
• https://spin7.icu/group.html
• https://t7c.icu/group.html
• https://w2a315.tubeluck.com/static/goindex/tuiliu/group.html
• https://www.appstoreconn.com/xmweb/group.html
• https://y4w.icu/group.html

SHA256

• 023e5fb71923cfa2088b9a48ad8566ff7ac92a99630add0629a5edf4679888de
• 05b5e4070b3b8a130b12ea96c5526b4615fcae121bb802b1a10c3a7a70f39901
• 0dff17e3aa12c4928273c70a2e0a6fff25d3e43c0d1b71056abad34a22b03495
• 10bd8f2f8bb9595664bb9160fbc4136f1d796cb5705c551f7ab8b9b1e658085c
• 18394fcc096344e0730e49a0098970b1c53c137f679cff5c7ff8902e651cd8a3
• 1fb9dedf1de81d387eff4bd5e747f730dd03c440157a66f20fdb5e95f64318c0
• 25a9b004cf61fb251c8d4024a8c7383a86cb30f60aa7d59ca53ce9460fcfb7de
• 2a9d21ca07244932939c6c58699448f2147992c1f49cd3bc7d067bd92cb54f3a
• 3c297829353778857edfeaed3ceeeca1bf8b60534f1979f7d442a0b03c56e541
• 42cc02cecd65f22a3658354c5a5efa6a6ec3d716c7fbbcd12df1d1b077d2591b
• 499f6b1e012d9bc947eea8e23635dfe6464cd7c9d99eb11d5874bd7b613297b1
• 4dc255504a6c3ea8714ccdc95cc04138dc6c92130887274c8582b4a96ebab4a8
• 4dfcf5a71e5a8f27f748ac7fd7760dec0099ce338722215b4a5862b60c5b2bfd
• 6eafd742f58db21fbaf5fd7636e6653446df04b4a5c9bca9104e5dfad34f547c
• 721b46b43b7084b98e51ab00606f08a6ccd30b23bef5e542088f0b5706a8f780
• 91d44c1f62fd863556aac0190cbef3b46abc4cbe880f80c580a1d258f0484c30
• be28b40df919d3fa87ed49e51135a719bd0616c9ac346ea5f20095cb78031ed9
• d371e3bed18ee355438b166bbf3bdaf2e7c6a3af8931181b9649020553b07e7a
• d517c3868c5e7808202f53fa78d827a308d94500ae9051db0a62e11f7852e802
• f218068ea943a511b230f2a99991f6d1fbc2ac0aec7c796b261e2a26744929ac