| 3 марта 2026 г. — 17:02 PT
Группа Google Threat Intelligence и компания по безопасности iVerify поделились подробностями о Coruna — наборе эксплойтов, который использует цепочку уязвимостей для атаки на iPhone с устаревшими версиями iOS. Вот подробности.
Под капотом
Как отметило издание Wired, в опубликованной сегодня статье в Google Cloud Blog раскрываются детали набора эксплойтов под названием Coruna, который использует пять полных цепочек эксплойтов iOS и 23 уязвимости для компрометации необновленных iPhone с версиями iOS от 13 до 17.2.1.
В самом общем виде набор эксплойтов Coruna работает путем объединения нескольких уязвимостей для последовательного нарушения уровней безопасности iPhone.
После посещения вредоносного сайта, который использует скрытый JavaScript для проверки модели устройства, версии системы и других настроек безопасности, атака может пойти по нескольким путям для обхода основных защит iOS, получения высоких привилегий и установки вредоносного ПО, которое может собирать данные или даже загружать дополнительные модули.
Интересно, что Google отмечает, что эксплойт проверяет, включен ли на устройстве режим блокировки, и прерывает процесс, если он включен, или если пользователь находится в режиме приватного просмотра.
Следует уточнить, что набор эксплойтов нацелен на iPhone с устаревшими версиями iOS и неэффективен против последних версий системы. Это одна из многих причин, по которым важно держать свои устройства обновленными.
Чтобы гораздо, гораздо глубже изучить, как работает Coruna, а также полный список уязвимостей (и их CVE, если таковые имеются), нацеленных на каждый отдельный релиз iOS от iOS 13 до iOS 17.2.1, ознакомьтесь с полной статьей в Google Cloud Blog.
За кулисами
Наряду со статьей Google, компания iVerify, специализирующаяся на мобильной безопасности, также опубликовала отчет о Coruna, предлагая дополнительный контекст о его возможных истоках.
Основываясь на реверс-инжиниринге фреймворка, iVerify утверждает, что Coruna, по-видимому, был построен на тех же основах, что и известные инструменты для взлома, используемые правительством США.
Из отчета iVerify:
Это первая зафиксированная массовая эксплуатация мобильных телефонов, включая iOS, преступной группой с использованием инструментов, вероятно, созданных государством-спонсором.
Они имеют в виду, что, несмотря на явные общие корни Coruna с другими инструментами для взлома, связанными с правительством США, по-видимому, он в какой-то момент просочился и был использован в кампаниях российскими шпионами и китайскими киберпреступниками.
Отчет за отчетом в прошлом году показывал, что программы-шпионы вышли за пределы ожидаемых целей в гражданском обществе, таких как журналисты и диссиденты, помимо криминальных деятелей, затронув руководителей в сфере технологий и финансовых услуг, политические кампании и других влиятельных лиц или лиц с привилегированным доступом. Чем шире использование, тем больше вероятность утечки.
В наблюдаемых кампаниях, по словам iVerify и Google, набор эксплойтов доставлялся через атаки типа «watering hole» на скомпрометированные веб-сайты, включая поддельные сервисы криптовалют, разработанные для привлечения жертв на вредоносные страницы.
В этих кампаниях конечный полезный груз, по-видимому, имеет финансовую мотивацию: модули предназначены для извлечения данных кошельков криптовалют и фраз восстановления с зараженных устройств.
Чтобы прочитать полный отчет iVerify, перейдите по этой ссылке.
Скидки на аксессуары на Amazon