SchwachstellenHackerangriffeMalware

Coruna-Exploit-Kit: Weiterentwicklung von Operation Triangulation bedroht Millionen iOS-Nutzer

Coruna-Exploit-Kit: Weiterentwicklung von Operation Triangulation bedroht Millionen iOS-Nutzer
Zusammenfassung

Der iOS-Exploit-Kit Coruna stellt eine erhebliche Bedrohung dar, da er offenbar eine modernisierte Variante von Exploits aus der Operation Triangulation darstellt, einer Cyberattacke aus dem Jahr 2023, bei der Geräte von Kaspersky-Mitarbeitern durch Zero-Click-iMessage-Angriffe kompromittiert wurden. Der Coruna-Kit zielt auf 23 iOS-Sicherheitslücken ab, darunter zwei Kernel-Bugs, die ursprünglich als Zero-Days in Operation Triangulation ausgenutzt wurden. Kaspersky hat festgestellt, dass alle Exploits im Kit mit einem einheitlichen Framework entwickelt wurden und Code-Ähnlichkeiten aufweisen – ein Indiz dafür, dass es sich um eine gezielte Weiterentwicklung derselben Exploitation-Infrastruktur handelt. Besonders besorgniserregend ist die jüngste Veröffentlichung des verwandten DarkSword-Exploit-Kits auf GitHub, die es auch Cyberkriminellen mit geringeren Ressourcen ermöglicht, Millionen von iOS-Geräten anzugreifen. Für deutsche Nutzer, Unternehmen und Behörden bedeutet dies ein erhöhtes Risiko, insbesondere wenn Geräte mit veralteten iOS-Versionen betrieben werden. Die Modularität und Wiederverwendbarkeit der Frameworks deuten darauf hin, dass weitere Akteure diese Techniken in Zukunft einsetzen werden.

Das iOS-Exploit-Kit Coruna markiert einen Wendepunkt in der mobilen Cyberkriminalität. Das System zielt auf 23 Schwachstellen in iOS ab, darunter die beiden Kernel-Bugs CVE-2023-32434 und CVE-2023-38606, die bereits in Operation Triangulation als Zero-Day-Exploits zum Einsatz kamen. Was Sicherheitsexperten besonders alarmiert: Die technische Analyse zeigt eine durchgehende Kontinuität zwischen den damaligen und heutigen Angriffstools.

Kaspersky-Analysten entdeckten, dass alle Kernel-Exploits in Coruna mit demselben Exploitations-Framework gebaut wurden und erhebliche Code-Ähnlichkeiten mit anderen Kit-Komponenten aufweisen. Dies deutet auf eine professionelle, langfristige Entwicklung hin — nicht auf kurzfristig zusammengewürfelte Malware. Die neue Version des Exploits bietet präzisere Versionsüberprüfungen und erkennt neuere iOS-Iterationen sowie moderne Apple-Prozessoren. Diese technischen Verbesserungen demonstrieren eindrucksvoll, dass die gleiche Quellcode-Basis über mehrere Exploits hinweg verwendet wurde.

“Ursprünglich für Cyber-Spionage entwickelt, wird dieses Framework nun von breiteren Cyberkriminellen-Kreisen missbraucht”, warnt Kaspersky in seinen Befunden. Diese Demokratisierung von High-End-Exploits stellt Millionen Nutzer mit ungepatchten Geräten in Gefahr.

Das Kit wurde bereits von der russischen Spionagegruppe UNC6353 gegen Ukraine-Ziele eingesetzt — zusammen mit DarkSword, einem weiteren iOS-Exploit-Kit für neuere Versionen. Ein besonders kritischer Aspekt: Eine aktuelle Version von DarkSword wurde kürzlich auf GitHub veröffentlicht, was es Niedrig-Profil-Cyberkriminellen ermöglicht, das professionelle Werkzeug in eigenen Angriffen zu nutzen.

Die Bedrohung ist real und unmittelbar. Kaspersky geht davon aus, dass weitere Bedrohungsakteure das modulare Kit-Design ausnutzen werden, um es in ihre Kampagnen zu integrieren. Der zentrale Schwachpunkt: Nutzer, die ihre iOS-Geräte nicht zeitnah aktualisieren, bleiben anfällig. Während Apple kontinuierlich Patches bereitstellt, hinkt ein erheblicher Teil der Nutzerschaft bei Sicherheitsupdates hinterher — eine technische Realität, die Angreifer systematisch ausnutzen.

Für deutsche Nutzer und Unternehmen bedeutet dies: Regelmäßige iOS-Updates sind nicht optional, sondern essentiell. Besonders sensible Nutzer sollten ihre Geräte zeitnah auf die neuesten Versionen aktualisieren und zwei-Faktor-Authentifizierung aktivieren.

Ähnliche Artikel