Nach Angaben von Kaspersky wurden die Kernel-Exploits in Operation Triangulation und in Coruna vom selben Autor erstellt. Als erstmals über Coruna berichtet wurde, reichten die öffentlich verfügbaren Belege noch nicht aus, um den Code mit Triangulation zu verbinden, erklärte Boris Larin, leitender Sicherheitsforscher bei Kaspersky GReAT, gegenüber The Hacker News. Geteilte Schwachstellen allein bewiesen noch keine gemeinsame Urheberschaft. Die neuen Funde stützen die Verbindung nun deutlicher.
Das Exploit-Kit enthält fünf vollständige iOS-Exploit-Ketten und insgesamt 23 Exploits. Darunter befinden sich CVE-2023-32434 und CVE-2023-38606, die beide zuerst als Zero-Days in Operation Triangulation genutzt wurden – einer Kampagne gegen iOS-Geräte, bei der vier Schwachstellen in Apples mobilem Betriebssystem ausgenutzt wurden. Coruna setzt zusätzlich vier weitere Kernel-Exploits ein. Laut Kaspersky bauen all diese Exploits auf demselben Framework zur Kernel-Ausnutzung auf und teilen sich gemeinsamen Code.
Konkret unterstützt der Code Apples Prozessoren A17, M3, M3 Pro und M3 Max sowie Prüfungen für iOS 17.2 und iOS 16.5 Beta 4. Letztere Version schloss alle vier in Operation Triangulation ausgenutzten Lücken, während die Prüfung auf iOS 17.2 die neueren Exploits berücksichtigt. Für Larin zeigt die Einbindung von Prüfungen für aktuelle Prozessoren wie den M3 und neuere iOS-Builds, dass die ursprünglichen Entwickler diese Codebasis aktiv erweitert haben.
Der Angriff beginnt, wenn ein Nutzer in Safari eine kompromittierte Website besucht. Ein sogenannter Stager nimmt einen Fingerabdruck des Browsers und liefert den passenden Exploit abhängig von Browser- und Betriebssystemversion aus. Anschließend wird eine Payload ausgeführt, die den Kernel-Exploit auslöst. Nach dem Herunterladen der nötigen Komponenten führt die Payload Kernel-Exploits, Mach-O-Loader und den Malware-Launcher aus, so Kaspersky. Welcher Mach-O-Loader gewählt wird, hängt von Firmware-Version, CPU und dem Vorhandensein der Berechtigung iokit-open-service ab.
Der Launcher steuert die Aktivitäten nach der Ausnutzung. Er nutzt den Kernel-Exploit, um den finalen Implantat-Code abzulegen und auszuführen, und beseitigt anschließend Spuren der Ausnutzung, um die forensische Aufklärung zu erschweren.
Ursprünglich für Cyberspionage entwickelt, werde das Framework nun von einer breiteren Gruppe von Cyberkriminellen genutzt, sagte Larin. Aufgrund des modularen Aufbaus und der einfachen Wiederverwendbarkeit rechnet Kaspersky damit, dass weitere Bedrohungsakteure es in ihre Angriffe übernehmen.
Parallel dazu ist laut einem zuerst von TechCrunch gemeldeten Bericht eine neue Version des iPhone-Exploit-Kits DarkSword auf GitHub geleakt worden. Das nährt die Sorge, dass auch dieses einst hochspezialisierte Werkzeug zu einem Framework für Massenausnutzung werden könnte.
