Корунья (эксплойт-набор) ⇐ Васина Википедия

[wiki_en]

'''Coruna''' — это сложный набор эксплойтов для iOS, публично раскрытый 3 марта 2026 г.
В 2025 году Coruna была замечена исследователями Google|Google и iVerify как минимум в трех различных кампаниях: сначала неназванным клиентом компании по наблюдению, затем в атаках на Украину|украинские цели, приписываемых UNC6353 (подозреваемая российско-российская шпионская группа), и, наконец, в широкомасштабных операциях по краже криптовалюты UNC6691, финансово мотивированной злоумышленницей, базирующейся в Китае. Лаборатория Касперского|Глобальная группа исследований и анализа Касперского (GReAT) впоследствии подтвердила, что два эксплойта в составе комплекта (под кодовыми названиями Photon и Gallium) нацелены на одну и ту же уязвимость (компьютерная безопасность)|уязвимости, использованные как уязвимость нулевого дня|нулевой день в операции «Триангуляция», кампании, обнаруженной в 2023 году и нацеленной на iPhone в России.
iVerify, которая независимо отслеживала этот комплект под названием CryptoWaters, подсчитала, что Coruna имеет структурное сходство с платформами, ранее приписывавшимися злоумышленникам, связанным с правительством США.
Набор эксплойтов не эффективен против последних версий iOS. В ответ на это сообщение Apple выпустила рекомендации по безопасности и перенесла исправления для старых версий iOS.
== Фон ==
До Coruna наиболее ярким примером распространения наступательных киберинструментов был EternalBlue, эксплойт для Microsoft Windows, предположительно разработанный Агентством национальной безопасности США (АНБ). Его утечка произошла от The Shadow Brokers|Shadow Brokers в 2017 году, а затем была использована в атаках программ-вымогателей WannaCry|WannaCry и атаках программ-вымогателей NotPetya. iVerify явно провел параллели между этими двумя случаями.

Операция «Триангуляция», обнаруженная Касперским в 2023 году, представляла собой отдельную кампанию по расширенным постоянным угрозам (APT). Он применил эксплойты с нулевым щелчком мыши против iPhone через iMessage. Исследователи «Лаборатории Касперского» представили свои выводы на 37-м Конгрессе Chaos Communication (37C3). Федеральное правительство России|Российское правительство тогда утверждало, что кампания проводилась американской разведкой, но это утверждение не было подтверждено и не опровергнуто американскими чиновниками.

== Открытие и раскрытие ==

=== Первоначальное открытие ===
В феврале 2025 года Google TIG зафиксировала части цепочки эксплойтов iOS, которые использовал клиент неназванной коммерческой компании, занимающейся наблюдением. Эксплойты были встроены в ранее невиданную среду JavaScript, в которой использовались особые методы обфускации. Платформа началась с отпечатков пальцев | отпечатков пальцев целевого устройства для определения модели iPhone и версии iOS перед доставкой соответствующего эксплойта удаленного выполнения кода WebKit с последующим обходом кода аутентификации указателя (PAC). На этом этапе GTIG восстановил WebKit RCE, ориентированный на iOS 17.2, который был идентифицирован как CVE-2024-23222, уязвимость, приводящая к путанице типов, которую Apple исправила в январе 2024 года в iOS 17.3.

=== Атаки на водопой в Украине ===
В середине 2025 года GTIG обнаружил ту же самую среду JavaScript, которая была загружена в виде скрытого iFrame на многочисленных взломанных украинских веб-сайтах, охватывающих такие сектора, как промышленное оборудование, розничная торговля, местные услуги и электронная коммерция. Платформа была предоставлена ​​только избранным пользователям iPhone из определенного геопозиционирования|геолокации. GTIG собрал дополнительные эксплойты WebKit RCE (CVE-2022-48503 и CVE-2023-43000) до того, как сервер (вычисления)|сервер был отключен. Эту деятельность приписали UNC6353, подозреваемой российской шпионской группе. GTIG координировал действия с CERT-UA для устранения взломанных сайтов.

=== Китайские кампании по борьбе с киберпреступностью ===
К концу 2025 года GTIG выявил фреймворк JavaScript, развернутый в большой сети мошеннических китайских веб-сайтов, в основном связанных с финансами и криптовалютами. К ним относятся поддельные версии криптобирж, таких как WEEX, которые отображали всплывающие окна, призывающие посетителей получить доступ к сайтам с iPhone или iPad. При посещении с устройства iOS скрытый iFrame внедрял набор эксплойтов Coruna независимо от географического местоположения посетителя.

Эта кампания была приписана UNC6691, финансово мотивированному китайскому злоумышленнику. Операционная ошибка злоумышленников (развертывание версии эксплойта Debugging|debug с незашифрованным кодом) позволила исследователям восстановить полный набор эксплойтов вместе с их внутренними кодовыми именами и подтвердить внутреннее имя «Coruna». iVerify независимо обнаружил ту же кампанию и отслеживал ее под обозначением CryptoWaters.

=== Публичное раскрытие ===
GTIG и iVerify опубликовали свои выводы одновременно 3 марта 2026 г. Впервые отчеты были опубликованы в журнале Wired|Wired.
== Техническое описание ==

=== Архитектура и доставка ===
Coruna поставляется в виде автономного HTML-файла, обычно называемого group.html или Analytics.html, встроенного в виде скрытого iFrame нулевого измерения внутри веб-страницы. Эксплойт полностью запускается в браузере через JavaScript и не требует никакого вмешательства пользователя, кроме загрузки страницы.
После снятия отпечатков инфраструктура выбирает и доставляет соответствующий эксплойт WebKit RCE, после чего следует обход PAC. Уникальный жестко запрограммированный файл cookie используется для создания URL-адресов ресурсов. Двоичные полезные данные после эксплуатации передаются с URL|URL, заканчивающихся на .min.js, зашифрованных и сжатых.

=== Эксплуатация инвентаря ===
Комплект содержит 23 эксплойта, организованных в пять полных цепочек, охватывающих iOS 13.0–17.2.1. Они разделены на несколько категорий: эксплойты WebKit RCE (кодовые названия Buffout, Jacurutu, Bluebird, Terrorbird и Cassowary), обход PAC (варианты Breezy и Seedbell), выходы из песочницы WebContent (IronLoader и NeuronLoader), эксплойты повышения привилегий ядра (Neutron, Pendulum, Photon, Parallax и Gruber) и обход PPL (Quark, Галлий, Карбон, Воробей и Ракета). Эксплойты включают обширную документацию с комментариями, написанными на родном английском языке.

Примечательны эксплойты Photon и Gallium (использующие CVE-2023-32434 и CVE-2023-38606), нацеленные на те же уязвимости, которые использовались в качестве нулевых дней в операции «Триангуляция». Анализ Касперского показал, что эксплойт ядра Coruna для этих уязвимостей представляет собой обновленную версию того же эксплойта, который использовался в предыдущей кампании, с добавленной поддержкой новых процессоров Apple (A17, серии M (Apple Silicon)|серии M3) и проверкой iOS 17.2. В комплект также входят модули многократного использования для обхода мер, предотвращающих выделение страниц памяти для чтения, записи и выполнения.

=== Вредоносная нагрузка ===
Конечная полезная нагрузка китайской кампании состояла из двоичного файла промежуточного уровня под названием PlasmaLoader, отслеживаемого GTIG как PLASMAGRID и использующего идентификатор com.apple.assistd. Загрузчик внедряется в powerd — демон, работающий под root-правами в iOS. Полезная нагрузка ориентирована на финансовую кражу: она может декодировать QR-код | QR-коды с изображений устройств, сканировать Apple Memos на наличие начальных фраз и ключевых слов BIP-39, таких как «резервная фраза» или «банковский счет», а также развертывать дополнительные модули, нацеленные на приложения криптовалютных кошельков.

Целевые приложения-кошельки включали MetaMask, Phantom, Exodus и более дюжины других. Каждый модуль функционировал путем размещения функциональных перехватчиков в целевом приложении для извлечения учетных данных кошелька и исходных фраз. Модули содержали строки журнала, написанные на китайском языке, некоторые из которых, по-видимому, были сгенерированы большой языковой моделью, основанной на их стиле и использовании Emoji|emojis.

Сетевая связь использовала HTTPS с данными, зашифрованными с помощью AES. Имплантат содержал жестко закодированные домены управления и контроля с алгоритмом создания резервного домена с использованием исходной строки «lazarus» для создания предсказуемых 15-символьных доменов с доменом верхнего уровня .xyz. iVerify дополнительно восстановила модули, предназначенные для iMessage (imagent) и WhatsApp, которых не было в образцах, проанализированных Google.

== Атрибуция и происхождение ==
Происхождение Коруньи и механизм, с помощью которого она перешла из рук в руки различных субъектов угрозы, неизвестны. GTIG представил это распространение как свидетельство активного вторичного рынка инструментов эксплойтов, не приписывая создание комплекта конкретной организации.

iVerify пошел еще дальше, подчеркнув структурное сходство набора эксплойтов с платформами, ранее разработанными злоумышленниками, связанными с правительством США. Соучредитель iVerify Рокки Коул заявил, что, по мнению компании, в платформе есть такие ссылки. Компания сравнила ситуацию с EternalBlue, отметив, что это первая наблюдаемая массовая эксплуатация устройств iOS преступной группой с использованием инструментов, вероятно, созданных национальным государством.

Касперский подтвердил, что эксплойт ядра Coruna представляет собой обновленную версию той же кодовой базы, которая использовалась в операции «Триангуляция», построенной на общей платформе эксплойта с общим кодом для нескольких компонентов.

СМИ предположили, что Корунья связана с делом Питера Уильямса, бывшего генерального менеджера Trenchant, подразделения L3Harris, которое разрабатывает эксплойты нулевого дня для правительства США и союзников Five Eyes. В феврале 2026 года Уильямс был приговорен к 87 месяцам тюремного заключения за кражу восьми компонентов эксплойтов у Trenchant в период с 2022 по 2025 год и продажу их российскому брокеру эксплойтов Operation Zero в обмен на 1,3 миллиона долларов в криптовалюте.
== Влияние ==
По оценкам iVerify, по меньшей мере 42 000 iPhone могли быть скомпрометированы только в результате волны киберпреступности в Китае, что делает это первой известной кампанией массовой эксплуатации устройств iOS.
== Ответ Apple ==
Apple выпустила документ поддержки, призывающий пользователей более старых версий iOS обновиться, отметив, что полностью обновленные устройства не были затронуты. 11 марта 2026 года компания перенесла исправления для уязвимостей, связанных с Coruna, в IOS 15|iOS 15.8.7, IOS 16|iOS 16.7.15 и связанные версии iPadOS, расширив защиту на устройства, которые не могли работать под управлением iOS 17 или позже. Для устройств, все еще работающих на iOS 13 или 14, Apple посоветовала перейти на iOS 15 и пообещала, что за этим последует критическое обновление безопасности. Apple также отметила, что режим блокировки и Safari (веб-браузер)|функция безопасного просмотра Safari обеспечивают дополнительную защиту.

== Ответ правительства ==
CISA добавила CVE-2021-30952, CVE-2023-41974 и CVE-2023-43000 в свой каталог известных эксплуатируемых уязвимостей (KEV) 5 марта 2026 г. с обязательным сроком устранения 26 марта 2026 г. для федеральных гражданских агентств.

== Связь с DarkSword ==
Через несколько недель после раскрытия Coruna iVerify сообщила о втором наборе эксплойтов под названием DarkSword, нацеленном на новые версии iOS (IOS 18 | 18.4–18.7), а также использованном в атаках на украинские цели с помощью UNC6353. DarkSword использовал несколько уязвимостей нулевого дня и, похоже, имел общее происхождение с инфраструктурой эксплойтов Coruna. Рекомендации Apple по безопасности касаются обоих комплектов.
== Значение ==
Аналитики по кибербезопасности описывают Корунью как знаковый случай в распространении наступательных кибервозможностей. Переход комплекта от клиента поставщика средств наблюдения к поддерживаемой государством шпионской группе, а затем к киберпреступникам, осуществляющим массовые финансовые кражи, продемонстрировал опасность вторичного рынка инструментов эксплойтов. Утечка EternalBlue уже продемонстрировала эту закономерность для настольных операционных систем. Coruna была первой, кто продемонстрировал это в масштабе для мобильных устройств.

Этот случай вернул старый аргумент: должны ли правительства хранить в секрете недостатки программного обеспечения, чтобы использовать их для взлома, или им следует сообщать о них технологическим компаниям, чтобы их можно было исправить? Как отмечает iVerify, когда такие инструменты выходят на вторичные рынки, становится практически невозможно контролировать, кто их использует и для каких целей.

==См. также==
* Операция Триангуляция
* Вечный Синий
* Pegasus (шпионское ПО)
* Группа НСО
* Шпионское ПО

Наборы инструментов для вредоносного ПО
Шпионское ПО
Эксплойты компьютерной безопасности
Кибервойна
Наблюдение
Хакерство (компьютерная безопасность)
2026 год в сфере вычислительной техники

Подробнее: https://en.wikipedia.org/wiki/Coruna_(exploit_kit)