Эксперты по кибербезопасности из Google и iVerify выявили эксплойт-кит Coruna, использующий 23 уязвимости для атак на iPhone с устаревшими версиями iOS. По мнению аналитиков, Coruna может быть создан на основе хакерских инструментов, ранее ассоциировавшихся с государственными ведомствами США. Специалисты рекомендуют владельцам устройств обновить операционную систему, так как актуальные версии iOS защищены от этой угрозы.
Как сообщает группа Google Threat Intelligence Group (GTIG), инструмент для взлома iPhone, выявленный совместно с iVerify, с 2024 года активно распространялся среди различных злоумышленников. Изначально он применялся для целевого наблюдения, затем был задействован в шпионских атаках на пользователей в Украине, а позднее попал в арсенал китайских киберпреступников.
В ходе исследования эксплойт-кита Coruna специалисты GTIG обнаружили пять полноценных цепочек для эксплуатации уязвимостей, а также 23 отдельные бреши в безопасности операционной системы iOS.
Данный инструментарий предназначен для компрометации iPhone, работающих на версиях iOS от 13.0 (выпущенной в сентябре 2019 года) до 17.2.1 (опубликованной в декабре 2023 года).
Некоторые из использованных методов обхода защиты ранее не были известны публично и позволяют эффективно нейтрализовать встроенные механизмы безопасности iOS, включая Pointer Authentication Codes (PAC) и другие защитные технологии. Современные версии iOS, начиная с 17.3 и новее, содержат исправления для уязвимостей, задействованных в Coruna, и не подвержены данным атакам. Эксперты настоятельно советуют своевременно устанавливать последние обновления операционной системы.
В феврале 2025 года специалисты iVerify перехватили часть атаки, осуществлённой клиентом коммерческой фирмы, торгующей системами слежения. Вредоносный код функционировал через сложный JavaScript-фреймворк с нестандартной обфускацией. Скрипт сначала собирал информацию об устройстве: проверял его подлинность, определял модель iPhone и версию iOS. Затем сервер отправлял соответствующую уязвимость для движка WebKit и механизм обхода защиты Pointer Authentication Code. Один из таких эксплойтов использовал брешь CVE-2024-23222, которую разработчики Apple устранили в январе 2024 года с выходом iOS 17.3.
Летом 2025 года этот же фреймворк на JavaScript был обнаружен в ходе иной зловредной операции. Злоумышленники разместили вредоносный скрипт на десятках взломанных украинских сайтов, среди которых были порталы розничных сетей, сервисных организаций и онлайн-маркетплейсов. Скомпрометированные страницы в фоновом режиме загружали скрытый iframe, который доставлял эксплойт-пакет только определённым пользователям iPhone, находившимся в заданных географических зонах. Эту активность эксперты по кибербезопасности iVerify отнесли к работе группы UNC6353. После обнаружения инцидента специалисты оперативно проинформировали украинскую команду CERT-UA и помогли в очистке и восстановлении поражённых веб-ресурсов.
К завершению 2025 года эксплойт-пакет Coruna снова был выявлен в рамках новой широкомасштабной вредоносной кампании. На сей раз злоумышленники внедрили вредоносный код на сотни фиктивных китайскоязычных сайтов, в основном копирующих финансовые онлайн-сервисы, криптобиржи и связанные с ними цифровые платформы. Мошеннические страницы использовали различные уловки, чтобы побудить посетителей открывать их исключительно с устройств iPhone (например, через всплывающие уведомления и специальные сообщения). При посещении с iOS-устройства страница скрытно подгружала невидимый iframe, который инициировал доставку того же набора эксплойтов Coruna. Кампания была нацелена на массовое заражение уязвимых устройств на iOS (версии с 13.0 по 17.2.1) с последующей установкой вредоносного ПО, предназначенного для хищения данных криптокошельков, сид-фраз, финансовых учётных данных и иной конфиденциальной информации. Эту деятельность исследователи связывают с финансово заинтересованной хакерской группировкой UNC6691.
В одном из эпизодов злоумышленники по ошибке развернули отладочную версию пакета. В коде остались наименования модулей и внутренних компонентов. Именно благодаря этой оплошности специалисты iVerify и узнали внутреннее название набора — Coruna. Изучение нескольких сотен образцов позволило восстановить пять полных цепочек кибератак.
Конструкция вредоносного комплекса Coruna характеризуется усложненной архитектурой и многоступенчатыми механизмами, препятствующими его выявлению и изучению. Выполнение скрипта автоматически прерывается, если на устройстве активирован строгий режим безопасности или сайт открыт в окне инкогнито. Для получения дополнительных компонентов используется специальная зашифрованная cookie-метка. Источники для загрузки формируются в реальном времени путем расчета SHA-256-хэша от объединения значения этой cookie и ID ресурса, после чего берутся первые 40 символов полученного хэша.
После успешного использования уязвимости в движке WebKit (позволяющей выполнять код удаленно — RCE) активируется бинарный загрузчик. Он собирает информацию об устройстве и определяет наиболее подходящую последовательность эксплойтов для конкретной модели iPhone и версии iOS. Полезные данные (включая последующие шаги, такие как обход защиты PAC, повышение привилегий и внедрение импланта) хранятся в зашифрованном виде и маскируются под обычные JavaScript-файлы, что серьезно осложняет как статический, так и динамический анализ.
После установления полного контроля над устройством запускается загрузчик, и вредоносный компонент интегрируется в системный процесс с административными правами. Последующий анализ активности показал, что конечной целью атаки является не наблюдение, а хищение финансовых сведений.
Вредоносный модуль, который устанавливается после успешного взлома, занимается поиском конфиденциальных данных на устройстве. В частности, он проверяет галерею изображений на наличие QR-кодов, содержащих информацию о криптовалютных кошельках, и расшифровывает их для извлечения сид-фраз или приватных ключей. Кроме того, модуль анализирует текстовые данные и файлы, включая содержимое приложения «Заметки». Программа ищет последовательности слов из стандартного словаря BIP-39 (мнемонические фразы для восстановления кошельков), а также ключевые выражения на английском и других языках, такие как «backup phrase», «seed phrase», «recovery phrase», «bank account», «счет в банке» и подобные. При обнаружении совпадений (в том числе в заметках) вредоносный код извлекает соответствующие данные и пересылает их на командный сервер (C2) злоумышленников для дальнейшего использования с целью кражи криптоактивов или иной финансовой информации.
Помимо этого, приложение способно подгружать вспомогательные компоненты. Эти компоненты нацелены на перехват данных от распространённых криптокошельков, таких как MetaMask, Trust Wallet, Exodus, Phantom и прочих. Логи активности модулей составлены на китайском, что позволяет косвенно судить о происхождении злоумышленников.
Как отмечает GTIG, хроника использования набора Coruna наглядно демонстрирует, как сложные хакерские инструменты постепенно переходят от одних злоумышленников к другим.
Подобная цепочка применения — от средств слежки до кибершпионажа и финансового мошенничества — указывает на наличие оживлённого чёрного рынка, где происходит торговля или перепродажа дорогостоящих уязвимостей нулевого дня. Точный способ передачи инструментария между группами остаётся неясным, однако такое распространение подчёркивает опасность утечки и повторного использования передовых методов, созданных изначально для узкого круга клиентов.
Этот вывод перекликается с более общими наблюдениями GTIG о тенденции к распространению сложных технологий среди государственных и негосударственных субъектов. Если обновить iOS до последней версии не представляется возможным (например, из-за устаревшей модели устройства), эксперты рекомендуют включить режим усиленной защиты. Он значительно сокращает возможности для атаки, нейтрализуя многие векторы эксплуатации, в том числе используемые Coruna.
