Coruna geht laut den Forschern von Google und iVerify auf kommerzielle Überwachungsanbieter zurück, bei denen es zunächst für gezielte Überwachungsoperationen eingesetzt wurde. Von dort verbreitete es sich zu staatlich gesteuerten Akteuren; Hinweise verknüpfen es mit Spionagekampagnen, darunter Russland zugeschriebene Angriffe gegen die Ukraine. Inzwischen gelangte das Werkzeug in die Hände finanziell motivierter, mit China in Verbindung gebrachter Cyberkrimineller, die es für großangelegte Betrugsmaschen umfunktioniert haben.
Mit Coruna können Angreifer auf verwundbaren Geräten Schadcode aus der Ferne ausführen. Ist ein Gerät einmal kompromittiert, erhalten sie vollständigen Systemzugriff und können dauerhaft aktive Malware installieren. Das Kit funktioniert auf iPhones mit Versionen von iOS 13.0, eingeführt im September 2019, bis iOS 17.2.1, veröffentlicht im Dezember 2023.
iOS und iPadOS 15.8.7 schließen vier Schwachstellen: CVE-2023-41974, CVE-2024-23222, CVE-2023-43000 und CVE-2023-43010. Bei der ersten handelt es sich um eine Kernel-Lücke, die übrigen drei betreffen WebKit. Nach Angaben von Apple kann die Kernel-Schwachstelle von einer bösartigen App ausgenutzt werden, um beliebigen Code mit Kernel-Rechten auszuführen; eine Korrektur war ursprünglich im September 2023 mit iOS 17 erschienen.
Die WebKit-Schwachstellen lassen sich über speziell präparierte Web-Inhalte zur Ausführung beliebigen Codes missbrauchen. Apple hatte die Korrekturen ursprünglich in iOS 17.3 (CVE-2024-23222, Januar 2024), iOS 16.6 (CVE-2023-43000, Juli 2023) und iOS 17.2 (CVE-2023-43010, Dezember 2023) ausgeliefert. iOS und iPadOS 16.7.15 beheben dagegen ausschließlich CVE-2023-43010.
Google hat bestätigt, eine aktive Ausnutzung beobachtet zu haben, und die US-Cybersicherheitsbehörde CISA hat mehrere der Coruna-Lücken in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Apples Sicherheitshinweise erwähnen eine Ausnutzung in freier Wildbahn allerdings nicht — obwohl das Unternehmen üblicherweise angibt, wenn ihm aktive Angriffe bekannt sind.
