Kaspersky hat in einem aktuellen Bericht dargelegt, dass das iOS-Exploit-Kit Coruna eine aktualisierte Fassung eines bereits bekannten Kernel-Exploits einsetzt. Dieser zielt auf die Schwachstellen CVE-2023-32434 und CVE-2023-38606 – zwei Kernel-Fehler, die in der Operation Triangulation als Zero-Days ausgenutzt wurden. Insgesamt adressiert Coruna 23 Schwachstellen in iOS.

Nach Angaben des Sicherheitsunternehmens wurden alle Kernel-Exploits in Coruna mit demselben Exploitation-Framework gebaut und weisen Code-Ähnlichkeiten mit anderen Komponenten des Kits auf. Daraus zieht Kaspersky den Schluss, dass das Kit nicht zusammengestückelt, sondern nach einem einheitlichen Ansatz entworfen wurde. Man gehe davon aus, dass es sich um eine aktualisierte Version desselben Frameworks handle, das – zumindest teilweise – schon in der Operation Triangulation verwendet worden sei.

Der aktualisierte Exploit führe eine genauere Versionsprüfung durch und enthalte Abfragen für neuere iOS-Versionen sowie für neuere Apple-Prozessoren. Diese Prüfungen zeigten zudem, dass derselbe Quellcode über mehrere Exploits hinweg eingesetzt wurde, die neuere Schwachstellen ins Visier nehmen.

Laut Kaspersky wurde das ursprünglich für Cyberspionage entwickelte Framework inzwischen von Cyberkriminellen eines breiteren Kreises übernommen, wodurch Millionen Nutzer mit ungepatchten Geräten gefährdet seien. Wegen des modularen Aufbaus und der einfachen Wiederverwendbarkeit erwartet das Unternehmen, dass weitere Akteure das Framework in ihre Angriffe einbinden werden.

Coruna kam einer als UNC6353 verfolgten, staatlich unterstützten russischen Spionagegruppe zufolge bei Angriffen gegen die Ukraine zum Einsatz – gemeinsam mit DarkSword, einem Exploit-Kit, das auf neuere iOS-Versionen abzielt. Eine aktuelle Variante von DarkSword wurde kürzlich auf GitHub geleakt, sodass auch wenig versierte Cyberkriminelle sie für Angriffe nutzen können. Da viele Geräte iOS-Versionen mit den anvisierten Schwachstellen ausführen, sind laut Bericht wahrscheinlich Millionen Geräte gefährdet.