Exploitkit Coruna richt zich op kwetsbaarheden in oudere iOS-versies
Een recent ontdekte exploitkit met de naam Coruna bevat vijf complete aanvalsketens en 23 individuele exploits, gericht op Apple iPhones met iOS-versies van 13.0 (uitgebracht in september 2019) tot en met 17.2.1 (december 2023). Volgens het Google Threat Intelligence Group (GTIG) maakt de toolkit gebruik van geavanceerde, niet-openbare technieken om beveiligingsmaatregelen te omzeilen.
Coruna is afgelopen jaar in verschillende contexten ingezet. Zo is de kit gebruikt in gerichte operaties door een klant van een surveillancbedrijf. Later werd het waargenomen in watering hole-aanvallen op Oekraïense gebruikers, uitgevoerd door UNC6353, een groep die wordt verdacht van Russische spionage. Uiteindelijk dook de complete exploitkit op in grootschalige campagnes van UNC6691, een financieel gemotiveerde dreigingsactor met banden in China. Hoe de verspreiding precies verliep, is onduidelijk, maar het wijst op een actieve handel in 'tweedehands' zero-day-exploits.
Twee van de exploits in Coruna – Photon en Gallium – maken gebruik van kwetsbaarheden die eerder werden blootgelegd tijdens Operation Triangulation in 2023, een campagne die door Kaspersky werd onderzocht. Volgens Boris Larin, hoofdonderzoeker bij Kaspersky GReAT, betreft het geen triviale fouten:
'Volledige controle over de diepste laag van iOS'
Boris Larin, principal security researcher at Kaspersky GReAT, licht toe: “CVE-2023-32434 geeft een aanvaller volledige controle over de diepste laag van iOS – de kernel, die alles op de telefoon regelt. CVE-2023-38606 gaat nog verder: het misbruikt een tot dan toe ongedocumenteerde functie van Apple’s eigen chips om hardwarematige beveiliging te omzeilen."
"Een kwetsbaarheid is echter geen component. Beide CVEs hebben inmiddels openbare implementaties – elk voldoende deskundig team kan eigen exploits schrijven zonder de oorspronkelijke Triangulation-code te zien. Er is geen bewijs dat Coruna door dezelfde auteurs is gemaakt", aldus Larin.
'Veel gebruikers updaten niet'
"Nadat wij de Triangulation-keten ontdekten en openbaarden, heeft Apple de kwetsbaarheden gepatcht, zelfs voor oudere versies zoals iOS 15.7.x. Toch updaten veel gebruikers niet, en Coruna bevat 23 exploits verspreid over vijf ketens – deze twee gedeelde CVEs zijn slechts het topje van de ijsberg."
"Deze zaak toont een fundamentele spanning: hetzelfde gesloten ecosysteem dat iPhones standaard veilig maakt, bemoeilijkt het voor de beveiligingsindustrie om een extra beschermingslaag te bieden wanneer Apple’s eigen verdediging wordt omzeild. Met toolkits als Coruna in omloop is dat een leemte die aandacht verdient.”
Meer over Security
Over Wouter Hoeffnagel
