От таргетирано шпиониране към масови атаки. Coruna iOS kit използва код от Triangulation
Нов iOS exploit kit, известен като Coruna, използва и надгражда код от кампанията Operation Triangulation от 2023 г., според нови анализи.
Това показва ясно развитие.
Инструменти, създадени за прецизни атаки, вече се използват в по-широк мащаб.
Какво представлява Coruna
Coruna е сложен exploit kit, насочен към iPhone устройства с iOS версии от 13 до 17.2.1.
Той включва:
- пълни exploit вериги
- kernel-level експлоатация
- адаптиране спрямо устройство и версия
- механизми за изпълнение и прикриване на зловреден код
Първоначално свързан с таргетирани атаки, днес се използва по-широко.
Връзка с Operation Triangulation
Анализът показва, че Coruna използва същата основа за kernel exploitation като Triangulation.
Наблюдава се:
- повторна употреба на exploit компоненти
- сходна архитектура
- активно развитие на съществуващ код
Добавена е поддръжка за нови процесори (A17, M3) и нови iOS версии.
Как работи атаката
Атаката започва при посещение на компрометиран сайт през Safari.
Процесът:
- Устройството се анализира (fingerprinting)
- Избира се подходящ exploit
- Изпълнява се kernel exploit
- Зарежда се зловреден payload
- Следите се почистват
Това осигурява пълен контрол върху устройството.
От прецизни атаки към масово използване
Coruna е наблюдаван в:
- таргетирани кампании
- watering hole атаки
- масови кампании чрез фалшиви сайтове
- разпространение на malware като PlasmaLoader
Това показва промяна в употребата.
Защо това е важно
Случаят показва как се развиват мобилните заплахи.
Три извода:
1. Високо ниво експлойти стават достъпни за повече актьори
Инструменти от шпионски кампании се преизползват.
2. Уеб достъпът остава основен вход
Safari и browser-based атаки са ефективни.
3. Един exploit може да се използва многократно
Поддържаните frameworks ускоряват атаките.
DIAMATIX Perspective
Това не е просто нов exploit.
Това е еволюция на capability.
Веднъж създадени, тези инструменти не изчезват.
Те се развиват и разпространяват.
Основните предизвикателства:
- ограничена видимост в мобилна среда
- бързо изпълнение на exploit веригите
- активно прикриване на следите
Организациите често подценяват мобилните устройства като риск.
Реално те са част от корпоративния достъп.
Ефективната защита изисква:
- видимост върху достъпа от мобилни устройства
- наблюдение на нетипични взаимодействия
- връзка между mobile, identity и network сигнали
- бърза реакция при съмнение
Мобилният риск вече е оперативен риск.
Източници
Kaspersky. Анализ на Coruna и Triangulation
Google / iVerify. Първоначални данни за Coruna
Публични данни за Operation Triangulation (2023)
Threat intelligence за PlasmaLoader
TechCrunch. Данни за DarkSword exploit kit
Статията е базирана на публично достъпна информация към март 2026 г.
Получавайте актуални новини и експертни анализи за киберсигурност
