Kernel exploit pre dve bezpečnostné zraniteľnosti použitý v nedávno odhalenom Apple iOS exploit kite známom ako Coruna je aktualizovanou verziou toho istého exploitu, ktorý bol použitý v kampani Operation Triangulation ešte v roku 2023, podľa nových zistení spoločnosti Kaspersky.
„Keď bola Coruna prvýkrát oznámená, verejne dostupné dôkazy neboli dostatočné na prepojenie jej kódu s Triangulation — samotné zdieľané zraniteľnosti nepreukazujú spoločné autorstvo,“ uviedol Boris Larin, hlavný bezpečnostný výskumník v Kaspersky GReAT, vo vyhlásení pre The Hacker News.
„Coruna nie je kolážou verejne dostupných exploitov; je to priebežne udržiavaný vývoj pôvodného frameworku Operation Triangulation. Zahrnutie kontrol pre novšie procesory, ako je M3, a novšie verzie iOS ukazuje, že pôvodní vývojári tento kód aktívne rozširovali. To, čo začalo ako presný nástroj kyberšpionáže, je teraz nasadzované bez rozdielu.“
Coruna bola prvýkrát zdokumentovaná spoločnosťami Google a iVerify začiatkom tohto mesiaca ako cielená na modely Apple iPhone bežiace na verziách iOS medzi 13.0 a 17.2.1.
Hoci bol kit pôvodne použitý zákazníkom nemenovanej sledovacej spoločnosti začiatkom minulého roka, odvtedy bol využitý podozrivým štátom podporovaným aktérom napojeným na Rusko v tzv. watering hole útokoch na Ukrajine a v masovej exploatačnej kampani, ktorá využívala skupinu falošných čínskych webových stránok s hazardom a kryptomenami na doručenie malvéru na krádež dát známeho ako PlasmaLoader (tiež označovaný ako PLASMAGRID).
Exploit kit obsahuje päť kompletných iOS exploit reťazcov a celkovo 23 exploitov, vrátane CVE-2023-32434 a CVE-2023-38606, ktoré boli prvýkrát použité ako zero-day zraniteľnosti v kampani Operation Triangulation, sofistikovanej kampani zameranej na iOS zariadenia, ktorá zahŕňala zneužitie štyroch zraniteľností v mobilnom operačnom systéme Apple.
Najnovšie zistenia spoločnosti Kaspersky naznačujú, že kernel exploity v Triangulation aj Coruna boli vytvorené tým istým autorom, pričom Coruna navyše využíva ďalšie štyri kernel exploity. Ruský bezpečnostný dodávateľ uviedol, že všetky tieto exploity sú postavené na rovnakom frameworku pre exploitáciu kernelu a zdieľajú spoločný kód.
Konkrétne kód obsahuje podporu pre procesory Apple A17, M3, M3 Pro a M3 Max, spolu s kontrolami pre iOS 17.2 a iOS verziu 16.5 beta 4, pričom posledná z nich opravila všetky štyri zraniteľnosti zneužité v rámci Operation Triangulation. Kontrola pre iOS 17.2 má naopak zohľadniť novšie exploity, uviedla spoločnosť Kaspersky.
Východiskovým bodom útoku je moment, keď používateľ navštívi kompromitovanú webovú stránku v prehliadači Safari, čo spôsobí, že tzv. stager vykoná fingerprinting prehliadača a doručí vhodný exploit na základe verzie prehliadača a operačného systému. To následne pripraví pôdu pre spustenie payloadu, ktorý aktivuje kernel exploit.
„Po stiahnutí potrebných komponentov payload začne vykonávať kernel exploity, Mach-O loadery a spúšťač malvéru,“ uviedla spoločnosť Kaspersky. „Payload vyberá vhodný Mach-O loader na základe verzie firmvéru, CPU a prítomnosti oprávnenia iokit-open-service.“
Spúšťač je hlavný orchestrátor zodpovedný za iniciovanie post-exploatačných aktivít, pričom využíva kernel exploit na nasadenie a spustenie finálneho implantátu. Zároveň čistí artefakty exploitu, aby zakryl forenznú stopu.
„Pôvodne vyvinutý na účely kyberšpionáže, tento framework je teraz využívaný širším spektrom kyberzločincov, čím vystavuje milióny používateľov s nezaplátanými zariadeniami riziku,“ uviedol Larin. „Vzhľadom na jeho modulárny dizajn a jednoduchosť opätovného použitia očakávame, že ho začnú do svojich útokov integrovať aj ďalší aktéri hrozieb.“
Vývoj prichádza v čase, keď nová verzia iPhone exploit kitu DarkSword unikla na GitHub, čo vyvoláva obavy, že by mohla poskytnúť viacerým aktérom hrozieb pokročilé schopnosti kompromitovať zariadenia, čím sa nástroj, ktorý bol kedysi elitným hackerským nástrojom, efektívne mení na framework pre masové zneužívanie. Uvoľnenie novej verzie bolo prvýkrát oznámené portálom TechCrunch.
Viac informácií tu:
https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit