Coruna — сложный инструмент для кибершпионажа, нацеленный на iPhone
Эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) провели технический анализ кода Coruna — сложного инструмента для кибершпионажа, нацеленного на iPhone. Исследователи установили, что он по крайней мере частично использовался в сложной кибератаке «Операция Триангуляция», с которой «Лаборатория Касперского» столкнулась в 2023 году. Это означает, что инструмент, который раньше применялся в целевых кампаниях, получил более широкое распространение и является угрозой для миллионов iOS-устройств в разных странах.
Общий эксплойт. В частности, в Coruna обнаружена обновлённая версия эксплойта*, который использовался в «Операции Триангуляция». Злоумышленники добавили в него проверки для новых процессоров Apple: A17, M3, M3 Pro и M3 Max, а также для iOS 17.2 — все они были выпущены осенью и зимой 2023 года. Также модифицированный эксплойт включает в себя специфическую проверку для iOS 16.5 beta 4 — это версия, выпущенная для исправления уязвимостей, о которых «Лаборатория Касперского» сообщала Apple.
Новые эксплойты в Coruna. В ходе анализа исследователи нашли ещё четыре эксплойта уровня ядра, основанные на одном механизме эксплуатации и отсутствовавшие в «Операции Триангуляция». Два из них были разработаны уже после обнаружения этой кампании. Сходства в коде прослеживаются не только в эксплойтах, но и в других компонентах Coruna. Такие находки позволяют сделать вывод, что этот набор эксплойтов был не составлен из разрозненных частей, а спроектирован единым образом.
«Когда появились первые сообщения о Coruna, нельзя было однозначно подтвердить связь этой кампании с „Операцией Триангуляция“ — само по себе использование одних и тех же уязвимостей не может быть доказательством. Однако наш технический анализ показал, что Coruna — это не разрозненная компиляция фрагментов, а результат эволюции оригинального фреймворка, используемого в „Операции Триангуляция“. Глобальный ландшафт угроз продолжает усложняться на наших глазах: инструмент, созданный для кибершпионажа, теперь может использоваться гораздо шире, что ставит под угрозу устройства миллионов пользователей по всему миру», — комментирует Борис Ларин, ведущий исследователь Kaspersky GReAT.
Полный технический анализ доступен на securelist.
«Лаборатория Касперского» призывает всех владельцев iPhone немедленно установить последние обновления операционной системы. Apple выпустила патчи для уязвимостей, эксплуатируемых Coruna, но устройства, на которых они не установлены, остаются под угрозой.
Coruna — это сложный набор инструментов, предназначенный для удалённой компрометации iPhone. Coruna скрытно определяет модель устройства и версию iOS, выбирает подходящую комбинацию эксплойтов и перехватывает управление смартфоном жертвы. Весь процесс происходит без каких-либо действий со стороны пользователя. Coruna представляет собой модульный набор инструментов, то есть может содержать разные вредоносные нагрузки в зависимости от цели злоумышленника — от шпионажа до кражи криптовалюты. Первыми компаниями, которые публично задокументировали Coruna, стали Google и iVerify, это произошло 4 марта 2026 года, однако его следы замечены в реальных атаках с начала 2025 года.
«Операция Триангуляция» — это сложная киберкампания, нацеленная на устройства под управлением iOS. Её обнаружила «Лаборатория Касперского» в 2023 году в процессе анализа сетевого трафика, полученного из собственной корпоративной сети Wi-Fi. Злоумышленники атаковали подключённые к ней iOS-устройства десятков сотрудников компании.
Чтобы минимизировать риск подвергнуться такой атаке, исследователи «Лаборатории Касперского» рекомендуют компаниям:
- проводить централизованный мониторинг событий в инфраструктуре с помощью Kaspersky SIEM, которая обеспечивает полный обзор событий безопасности и повышает эффективность операций по обеспечению кибербезопасности;
- регулярно обновлять операционную систему, приложение и защитное ПО, чтобы исправлять все известные уязвимости;
- предоставлять ИБ-специалистам доступ к данным о киберугрозах, например через Threat Intelligence, чтобы они оставались в курсе актуальных техник, тактик и процедур злоумышленников;
- повышать квалификацию команды по кибербезопасности с помощью специальных тренингов;
- использовать комплексные продукты, которые позволят выстроить гибкую систему безопасности, включая обеспечение надёжной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в линейке продуктов для защиты бизнеса Kaspersky Symphony.
* Вредоносная программа, задача которой — проникнуть в систему через уязвимость и обеспечить запуск вредоносного кода для дальнейшего развёртывания атаки.
