Содержание
Google Threat Intelligence Group описала iOS-эксплойт-кит Coruna: в наборе 23 атаки, которые бьют по iPhone на iOS 13.0-17.2.1. Но есть и хорошая новость: если включён Lockdown Mode, фреймворк прекращает работу и даже не пытается запускать эксплойты.
Как Coruna «переезжал» между злоумышленниками
По данным GTIG, Coruna впервые заметили в феврале 2025 года. Тогда его использовал клиент коммерческого поставщика средств наблюдения. Дальше набор всплыл уже у других игроков, и это похоже на цепочку перепродаж.
К лету 2025 года тот же фреймворк применили в атаках типа watering hole. Сценарий простой: компрометируют сайты, на которые часто заходят нужные жертвы, и заражают посетителей через браузер. В GTIG связывают эту волну с группой, которую подозревают в шпионаже, и отмечают фокус на украинских пользователях.
Позже, в конце 2025 года, Coruna оказался у финансово мотивированного злоумышленника из Китая. Он развернул набор на большой сети фейковых сайтов про финансы и крипту. Как именно эксплойт-кит переходил из рук в руки, в GTIG не уточняют, но вывод звучит жёстко: рынок «second hand» для zero-day, похоже, живёт и приносит результат.
Почему этот набор выделяется технически
Coruna собран как универсальный «комбайн» под разные iPhone и версии iOS. Когда пользователь заходит на заражённый сайт, набор определяет модель устройства и версию системы, а потом выбирает подходящую атаку под конкретную связку.
В отчёте GTIG отдельно подчёркивают качество инженерии. Код эксплойтов зашифрован сильной криптографией, поэтому его сложнее перехватывать и разбирать. Плюс он упакован в кастомный формат, который разработчики, судя по описанию, придумали сами.
Ещё одна деталь из анализа: внутри есть подробные заметки на английском, которые объясняют, как всё устроено. А часть приёмов атак, по оценке GTIG, ранее публично не встречалась.
Цели: криптокошельки, финансы и даже заметки
Coruna заточен под кражу финансовых данных и криптоактивов. По описанию GTIG, полезная нагрузка умеет «подцепляться» к 18 криптоприложениям и вытаскивать учётные данные кошельков.
Набор не ограничивается одним приложением или одним форматом данных. Он умеет декодировать QR-коды из изображений на диске. Ещё он анализирует текстовые «куски» в поисках сид-фраз по стандарту BIP39 и ключевых слов вроде «backup phrase» или «bank account».
Отдельно упоминается сканирование Apple Notes на типичные seed phrase. Это логично: многие хранят «временные» фразы именно в заметках, пока не купили железный сейф и не распечатали всё на бумаге.
Lockdown Mode срабатывает как стоп-кран
Самый практичный вывод из описания: Lockdown Mode реально ломает цепочку атаки. Если режим включён, Coruna «отваливается» и не продолжает эксплуатацию уязвимостей.
Вторая развилка — версия iOS. GTIG пишет, что набор работает против устройств на iOS 17.2.1 и более ранних и не работает на более новых версиях системы.
Сам отчёт GTIG доступен по ссылке: new report.
Источники: Google Threat Intelligence Group (GTIG)
