«Лаборатория Касперского» подтвердила связь инструмента Coruna с «Операцией Триангуляция»
«Лаборатория Касперского» подтвердила связь инструмента Coruna с «Операцией Триангуляция» — целевой кибератакой на iOS-устройства. Анализ показал, что Coruna содержит обновлённую версию эксплойта из этой кампании, а также четыре новых эксплойта уровня ядра. Coruna — модульный набор для удалённой компрометации iPhone.
Эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) установили, что как минимум один компонент инструмента Coruna использовался в «Операции Триангуляция». Как сообщили SecPost в компании, технический анализ показал, что Coruna является не разрозненной компиляцией фрагментов, а результатом эволюции оригинального фреймворка, применяемого в указанной кибератаке.
«Операции Триангуляция» — это сложная кибератака на iPhone, выявленная «Лабораторией Касперского» в 2023 году после обнаружения подозрительного трафика в корпоративной Wi-Fi сети. Злоумышленники тогда скомпрометировали десятки iOS-устройств сотрудников компании.
В коде Coruna обнаружена обновлённая версия эксплойта, применявшегося в «Операции Триангуляция». Как сообщили в компании, злоумышленники добавили в него проверки для новых процессоров Apple (A17, M3, M3 Pro, M3 Max) и для iOS 17.2. Также модифицированный эксплойт включает проверку для iOS 16.5 beta 4 — версии, выпущенной для исправления уязвимостей, о которых «Лаборатория Касперского» уведомляла Apple.
Помимо этого, в ходе анализа исследователи обнаружили четыре эксплойта уровня ядра, основанных на одном механизме эксплуатации и отсутствовавших в «Операции Триангуляция». Два из них, как отмечается в сообщении, были разработаны после обнаружения этой кампании. Сходства в коде прослеживаются не только в эксплойтах, но и в других компонентах Coruna, что, по мнению экспертов, свидетельствует о едином подходе к проектированию набора инструментов.
Coruna представляет собой модульный набор инструментов для удалённой компрометации iPhone. При посещении скомпрометированного сайта через Safari инструмент скрытно определяет модель устройства и версию iOS, выбирает подходящую комбинацию эксплойтов и перехватывает управление смартфоном без действий со стороны пользователя. В зависимости от целей злоумышленника набор может включать различные вредоносные нагрузки — от шпионажа до кражи криптовалюты.
В «Лаборатории Касперского» отметили, что Coruna впервые публично задокументировали Google и iVerify 4 марта 2026 года, при этом следы инструмента замечены в реальных атаках с начала 2025 года. Компания рекомендует владельцам iPhone установить последние обновления операционной системы: Apple выпустила патчи для уязвимостей, эксплуатируемых Coruna, однако устройства без обновлений остаются под угрозой.
Ранее SecPost писал о распространении набора инструментов Coruna для взлома iPhone. Профессиональный набор эксплойтов, созданный для государственных заказчиков, оказался в руках киберпреступников, которые используют его для массовой кражи криптовалют, скомпрометировав около 42 тысяч устройств.
Читайте также
