SchwachstellenHackerangriffeMalware

Coruna-Exploit-Kit: Ausgefeilte iOS-Angriffe nutzen recycelte Triangulation-Code

Coruna-Exploit-Kit: Ausgefeilte iOS-Angriffe nutzen recycelte Triangulation-Code
Zusammenfassung

Das iOS-Exploit-Kit Coruna stellt eine erhebliche Sicherheitsbedrohung dar, da es Exploit-Code aus der Operation Triangulation von 2023 wiederverwenden und weiterentwickeln. Sicherheitsforschern von Kaspersky zufolge handelt es sich nicht um eine zusammengeflickte Sammlung öffentlicher Exploits, sondern um eine aktiv gepflegte Evolution des ursprünglichen Triangulation-Frameworks. Das Kit enthält fünf vollständige iOS-Exploit-Chains und 23 Exploits, die auf iPhones mit iOS-Versionen zwischen 13.0 und 17.2.1 abzielen. Während das Kit ursprünglich von einer Überwachungsfirma für gezelte Spionagezwecke eingesetzt wurde, wird es nun indiskriminat von mutmaßlich russisch ausgerichteten Akteuren in Watering-Hole-Attacken und Massenausbeutungskampagnen verwendet – etwa über gefälschte chinesische Glücksspiel- und Kryptowährungsseiten zur Verbreitung von Schadsoftware. Für deutsche Nutzer und Unternehmen bedeutet dies ein erhebliches Risiko, zumal das Kit mit kontinuierlichen Updates auf neuere Apple-Prozessoren und iOS-Versionen vorbereitet wird. Millionen Besitzer ungepatchter Geräte sind gefährdet, während das modulare Design des Frameworks es anderen Cyberkriminellen erleichtert, ähnliche Angriffe durchzuführen.

Die Sicherheitsexperten von Kaspersky haben erstmals technische Belege erbracht, dass Coruna eine direkte Weiterentwicklung des hochsophistizierten Triangulation-Exploit-Frameworks darstellt. Während die erste Meldung über Coruna, die von Google und iVerify Anfang 2024 veröffentlicht wurde, nicht ausreichte, um eine sichere Code-Verbindung zu beweisen, zeigen die neuen Erkenntnisse eindeutig: Der gleiche Autor stand hinter beiden Exploits.

“Coruna ist nicht einfach ein Flickenteppich aus öffentlich bekannten Exploits — es ist eine kontinuierlich gepflegte Weiterentwicklung des ursprünglichen Operation-Triangulation-Frameworks,” erklärte Boris Larin, Principal Security Researcher bei Kaspersky GReAT, gegenüber The Hacker News. Die regelmäßigen Updates zeigen, dass die Entwickler aktiv an der Erweiterung des Codebasis arbeiten, mit Unterstützung für neuere Prozessoren wie den M3 und neuere iOS-Builds.

Das Coruna-Kit ist beeindruckend komplex: Es enthält fünf vollständige iOS-Exploit-Ketten und insgesamt 23 Exploits, darunter die beiden Zero-Days CVE-2023-32434 und CVE-2023-38606, die erstmals bei Operation Triangulation verwendet wurden. Die Kernel-Exploits unterstützen Apples A17-, M3-, M3-Pro- und M3-Max-Prozessoren und überprüfen Kompatibilität mit iOS 17.2 sowie iOS-Version 16.5 Beta 4.

Die Angriffsweise ist ausgeklügelt: Ein Nutzer besucht eine kompromittierte Website in Safari, woraufhin ein Stager den Browser analysiert und den passenden Exploit basierend auf Browserversion und Betriebssystem bereitstellt. Der Payload führt dann den Kernel-Exploit aus, lädt Mach-O-Loader und die Malware-Launcher herunter. Der Launcher orchestriert die Nachexploitation und beseitigt Spuren, um forensische Ermittlungen zu erschweren.

Was Kaspersky besonders beunruhigt: Das Kit wurde ursprünglich für präzise Cyber-Spionage entwickelt, wird aber nun von breiteren Kriminellen-Kreisen eingesetzt. “Millionen Nutzer mit ungepatchten Geräten sind nun in Gefahr,” warnt Larin. Das modulare Design macht es wahrscheinlich, dass weitere Threat-Actors das Framework übernehmen werden.

Die Situation verschärft sich zusätzlich durch die kürzliche Veröffentlichung einer neuen Version des iPhone-Exploit-Kits DarkSword auf GitHub — ein weiteres Zeichen dafür, dass ehemals exklusive Hacking-Tools zunehmend zur Massenwaffe für Cyberkriminelle werden.

Ähnliche Artikel