Долгий и странный путь, пройденный с помощью большого количества сложных эксплойтов для iOS.
Источник: Getty Images Источник: Getty Images Настройки текстаТекст рассказа Размер Маленький Стандартный Большой Ширина * Стандартный Широкий Ссылки Стандартный Оранжевый * Только для подписчиков
Узнать больше Свернуть в навигацию
Агентство по кибербезопасности и защите инфраструктуры обязало федеральные ведомства устранить три критические уязвимости в iOS, которые использовались в течение 10 месяцев в ходе хакерских атак, проводимых тремя различными группами.
В четверг в отчете Google были раскрыты подробности хакерских кампаний. Во всех трех кампаниях использовался Coruna — продвинутый хакерский набор, объединяющий 23 отдельных эксплойта для iOS в пять мощных цепочек. Хотя некоторые из уязвимостей уже использовались в качестве уязвимостей нулевого дня в более ранних, не связанных между собой кампаниях, к моменту обнаружения их использования Coruna все они были исправлены. Тем не менее, при использовании против более старых версий iOS этот набор представлял собой серьезную угрозу, учитывая высокое качество кода эксплойтов и широкий спектр возможностей.
Случай с беспорядочным распространением вторичных активов нулевого дня
«Основная техническая ценность этого набора эксплойтов заключается в его всеобъемлющей коллекции эксплойтов для iOS», — написали исследователи Google. «Эксплойты сопровождаются обширной документацией, включая строки документации и комментарии, написанные на английском языке. Самые продвинутые из них используют непубличные методы эксплуатации и обходы мер защиты».
В пятницу CISA добавила три уязвимости в свой каталог известных эксплуатируемых уязвимостей. Это означает, что все федеральные агентства, находящиеся в ведении CISA, обязаны устранить эти уязвимости. CISA также рекомендовала всем организациям сделать то же самое. Эксплойты работают на версиях iOS от 13 до 17.2.1. Версии выше 17.2.1 не уязвимы. Эксплойты также не срабатывают при активации Apple Lockdown или при включенном режиме приватного просмотра в браузере.
Расширенные возможности Coruna включают в себя невиданный ранее фреймворк JavaScript, использующий уникальный метод обфускации для предотвращения обнаружения и обратного проектирования. При активации фреймворк запускает модуль идентификации устройства для сбора информации о нем. На основе полученных результатов фреймворк загружает подходящий эксплойт WebKit, а затем осуществляет обход защиты, известной как код аутентификации указателей.
Уязвимость Coruna также примечательна тем, что её использовали три различные хакерские группы. Google впервые обнаружил её использование в феврале прошлого года в ходе операции, проведённой «клиентом поставщика оборудования для видеонаблюдения». Уязвимость, отслеживаемая как CVE-2025-23222, была исправлена за 13 месяцев до этого. В июле 2025 года «подозреваемая в шпионаже в пользу России» использовала CVE-2023-43000 в атаках на веб-сайты, которые часто посещали украинские цели. В декабре прошлого года, когда её использовал «финансово мотивированный злоумышленник из Китая», Google смог получить полный набор эксплойтов.
«Как именно произошло это распространение, неясно, но это указывает на активный рынок «вторичных» эксплойтов нулевого дня», — написала Google. «Помимо выявленных эксплойтов, многие злоумышленники теперь освоили передовые методы эксплуатации, которые можно повторно использовать и модифицировать с помощью вновь обнаруженных уязвимостей».
Исследователи Google продолжили писать:
Мы извлекли все обфусцированные эксплойты, включая конечные полезные нагрузки. При дальнейшем анализе мы заметили случай, когда злоумышленник развернул отладочную версию эксплойт-комплекта, оставив все эксплойты в открытом виде, включая их внутренние кодовые имена. Именно тогда мы узнали, что эксплойт-комплект, вероятно, назывался Coruna внутри компании. В общей сложности мы собрали несколько сотен образцов, охватывающих пять полных цепочек эксплойтов для iOS. Эксплойт-комплект способен атаковать различные модели iPhone под управлением iOS версии 13.0 (выпущенной в сентябре 2019 года) до версии 17.2.1 (выпущенной в декабре 2023 года).
Вот 23 эксплойта, а также их кодовые названия и другая информация:
| Тип | Кодовое имя | Целевые версии (включительно) | Исправленные версии | CVE |
| Чтение и запись веб-контента | баффаут | 13 → 15.1.1 | 15.2 | CVE-2021-30952 |
| Чтение и запись веб-контента | jacurutu | 15.2 → 15.5 | 15.6 | CVE-2022-48503 |
| Чтение и запись веб-контента | синяя птица | 15.6 → 16.1.2 | 16.2 | Нет CVE |
| Чтение и запись веб-контента | ужасная птица | 16.2 → 16.5.1 | 16.6 | CVE-2023-43000 |
| Чтение и запись веб-контента | казуар | 16.6 → 17.2.1 | 16.7.5, 17.3 | CVE-2024-23222 |
| Обход WebContent PAC | ветрено | 13 → 14.x | ? | Нет CVE |
| Обход WebContent PAC | breezy15 | 15 → 16.2 | ? | Нет CVE |
| Обход WebContent PAC | колокольчик | 16.3 → 16.5.1 | ? | Нет CVE |
| Обход WebContent PAC | seedbell_16_6 | 16.6 → 16.7.12 | ? | Нет CVE |
| Обход WebContent PAC | seedbell_17 | 17 → 17.2.1 | ? | Нет CVE |
| Выход из песочницы веб-контента | Железный Загрузчик | 16.0 → 16.3.1 16.4.0 (<= A12) | 15.7.8, 16.5 | CVE-2023-32409 |
| Выход из песочницы веб-контента | NeuronLoader | 16.4.0 → 16.6.1 (A13-A16) | 17.0 | Нет CVE |
| ПЭ | Нейтрон | 13.X | 14.2 | CVE-2020-27932 |
| ПЭ (информационная утечка) | Динамо | 13.X | 14.2 | CVE-2020-27950 |
| ПЭ | Маятник | 14 → 14.4.x | 14.7 | Нет CVE |
| ПЭ | Фотон | 14.5 → 15.7.6 | 15.7.7, 16.5.1 | CVE-2023-32434 |
| ПЭ | Параллакс | 16.4 → 16.7 | 17.0 | CVE-2023-41974 |
| ПЭ | Грубер | 15.2 → 17.2.1 | 16.7.6, 17.3 | Нет CVE |
| Объезд PPL | Кварк | 13.X | 14.5 | Нет CVE |
| Объезд PPL | Галлий | 14.x | 15.7.8, 16.6 | CVE-2023-38606 |
| Объезд PPL | Карбоне | 15.0 → 16.7.6 | 17.0 | Нет CVE |
| Объезд PPL | Воробей | 17.0 → 17.3 | 16.7.6 , 17.4 | CVE-2024-23225 |
| Объезд PPL | Ракета | 17.1 → 17.4 | 16.7.8, 17.5 | CVE-2024-23296 |
CISA добавляет в свой каталог только три уязвимости CVE. Это:
- CVE-2021-30952 Уязвимость переполнения или циклического переполнения в нескольких продуктах Apple
- CVE-2023-41974 Уязвимость типа Use-After-Free в Apple iOS и iPadOS
- CVE-2023-43000 Уязвимость «использования после освобождения памяти» (Use-After-Free) в нескольких продуктах Apple
CISA предписывает ведомствам «применять меры по смягчению последствий в соответствии с инструкциями поставщика, следовать применимым рекомендациям для облачных сервисов или прекратить использование продукта, если меры по смягчению последствий недоступны». Ведомство также предупредило: «Подобные типы уязвимостей часто используются злонамеренными киберпреступниками в качестве векторов атак и представляют значительные риски для федеральных структур».
Источник: arstechnica.com
