Kaspersky beschreibt Coruna als kontinuierlich gepflegte Weiterentwicklung und nicht als Zusammenstückelung öffentlicher Exploits. „Coruna ist kein Flickwerk aus öffentlichen Exploits, sondern eine fortlaufend gepflegte Weiterentwicklung des ursprünglichen Frameworks von Operation Triangulation", sagt Boris Larin, Principal Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky. Die Verbindung zu Triangulation sei nach der Analyse der Binärdateien von Coruna deutlich geworden.
Den entscheidenden Beleg lieferte der Kernel-Exploit für die Schwachstellen CVE-2023-32434 und CVE-2023-38606. Nach Auswertung des Codes stellten die Forscher fest, dass es sich um eine aktualisierte Version desselben Exploits handelt, der in Operation Triangulation verwendet wurde. Die Entwickler hielten das Framework offenbar laufend aktuell und bauten Prüfungen für neuere Prozessoren wie den M3 sowie für neuere iOS-Builds ein.
Der Angriff beginnt nach Kasperskys Analyse im Browser Safari mit einem Stager, der das Gerät identifiziert, passende RCE- und PAC-Exploits auswählt und anschließend verschlüsselte Metadaten für die folgenden Stufen abruft. Die Schadkomponente lädt weitere verschlüsselte Bestandteile herunter, entschlüsselt sie mit ChaCha20, dekomprimiert sie mit LZMA und liest aus eigenen Container-Formaten die Paketinformationen aus.
Abhängig von Architektur und iOS-Version wählt und startet das Kit den passenden Kernel-Exploit, einen Mach-O-Loader und einen Launcher, um den Spyware-Implantat-Code zu installieren. Die Schadkomponenten unterstützen laut Kaspersky die Architekturen ARM64 und ARM64E, mit ausdrücklichen Prüfungen auf die Chips A17, M3, M3 Pro und M3 Max.
Operation Triangulation war eine hochentwickelte iOS-Spionagekampagne, die mehrere Zero-Day-Exploits nutzte, um iPhones unbemerkt zu infizieren und Spyware-Implantate auszubringen. Kaspersky entdeckte sie im Juni 2023 bei der Überwachung des internen WLAN-Netzes, obwohl die Kampagne bereits vier Jahre zuvor begonnen hatte. Ende 2023 fanden dieselben Forscher heraus, dass die Angriffe undokumentierte Funktionen in Apple-Chips ausnutzten, um hardwarebasierte Schutzmechanismen zu umgehen.
Da Coruna inzwischen auch für den Diebstahl von Kryptowährung über gefälschte Börsen-Websites eingesetzt wird, ordnet Larin die Entwicklung so ein: „Was als präzises Spionagewerkzeug begann, wird heute wahllos eingesetzt."
Parallel wurde kürzlich ein weiteres Exploit-Kit namens DarkSword bekannt, das Forscher der Mobile-Security-Firmen Lookout und iVerify sowie Google offengelegt haben. Wie Coruna wird DarkSword von mehreren Bedrohungsakteuren genutzt, die es jedoch allesamt für Spionagezwecke einsetzen. DarkSword ist mittlerweile öffentlich verfügbar, was das Risiko erhöht, dass Cyberkriminelle es gegen ungepatchte iPhones einsetzen.
Apple hat zu diesen jüngst aufgedeckten Exploit-Kits eine Mitteilung veröffentlicht und weist darauf hin, dass Korrekturen für alle Schwachstellen über Sicherheitsupdates sowohl für die aktuellen als auch für ältere iOS-Versionen bereitstehen.
