Эксперты «Лаборатории Касперского» опубликовали технический разбор эксплоит-кита Coruna (также известного как CryptoWaters).
Они подтвердили, что один из его компонентов ранее применялся в рамках «Операции Триангуляция» — сложной APT-кампании против устройств Apple, выявленной в 2023 году. Ранее в компании не находили оснований связывать авторов Coruna и «Операции Триангуляция», однако после углублённого анализа кода эта позиция изменилась.
Впервые о Coruna стало известно в марте 2026 года, когда специалисты Google и iVerify представили отчёты о данном фреймворке для атак на iOS. В состав Coruna входят пять цепочек эксплоитов и 23 уязвимости, затрагивающие iOS с 13.0 по 17.2.1; против актуальных версий системы инструмент не работает.
По данным Kaspersky GReAT, эксплоит для уязвимостей ядра CVE-2023-32434 и CVE-2023-38606, используемый в Coruna, является развитием того же фреймворка, что применялся в «Операции Триангуляция». Исследователи отмечают, что набор эксплоитов не был собран из разрозненных частей, а спроектирован как единое целое.
В новую версию злоумышленники добавили проверки для современных процессоров Apple (A17, M3, M3 Pro, M3 Max) и iOS 17.2, а также для iOS 16.5 beta 4 — в этой версии Apple закрыла уязвимости, о которых ранее сообщали эксперты «Касперского».
Аналитики подробно описали цепочку атаки Coruna: всё начинается с стейджера в Safari, который определяет версию iOS и подбирает подходящие эксплоиты для удалённого выполнения кода и обхода защиты PAC. Стейджер содержит зашифрованный URL с перечнем пакетов эксплоитов и ключ ChaCha20 для расшифровки.
Далее вредоносная нагрузка инициализирует эксплуатацию ядра и загружает дополнительные компоненты через систему контейнеров с уникальными магическими числами. Фреймворк поддерживает разные архитектуры (ARM64, ARM64E) и подбирает загрузчик Mach-O в зависимости от версии прошивки, процессора и других параметров.
На этапе пост-эксплуатации модуль запуска использует объекты ядра, созданные эксплоитом, очищает следы, внедряет стейджер в целевой процесс и активирует имплант.
Кроме обновлённого эксплоита, в Coruna обнаружены ещё четыре эксплоита уровня ядра, которых не было в «Операции Триангуляция». Два из них были созданы уже после раскрытия кампании. Все пять эксплоитов построены на общей кодовой базе, а сходства прослеживаются и в других компонентах фреймворка.
Эксперты рекомендуют всем владельцам iPhone срочно установить последние обновления iOS, поскольку Apple уже выпустила патчи для уязвимостей, используемых в Coruna.
По данным Kaspersky GReAT, эксплоит для уязвимостей ядра CVE-2023-32434 и CVE-2023-38606, используемый в Coruna, является развитием того же фреймворка, что применялся в «Операции Триангуляция». Исследователи отмечают, что набор эксплоитов не был собран из разрозненных частей, а спроектирован как единое целое.
В новую версию злоумышленники добавили проверки для современных процессоров Apple (A17, M3, M3 Pro, M3 Max) и iOS 17.2, а также для iOS 16.5 beta 4 — в этой версии Apple закрыла уязвимости, о которых ранее сообщали эксперты «Касперского».
Аналитики подробно описали цепочку атаки Coruna: всё начинается с стейджера в Safari, который определяет версию iOS и подбирает подходящие эксплоиты для удалённого выполнения кода и обхода защиты PAC. Стейджер содержит зашифрованный URL с перечнем пакетов эксплоитов и ключ ChaCha20 для расшифровки.
Далее вредоносная нагрузка инициализирует эксплуатацию ядра и загружает дополнительные компоненты через систему контейнеров с уникальными магическими числами. Фреймворк поддерживает разные архитектуры (ARM64, ARM64E) и подбирает загрузчик Mach-O в зависимости от версии прошивки, процессора и других параметров.
На этапе пост-эксплуатации модуль запуска использует объекты ядра, созданные эксплоитом, очищает следы, внедряет стейджер в целевой процесс и активирует имплант.
Кроме обновлённого эксплоита, в Coruna обнаружены ещё четыре эксплоита уровня ядра, которых не было в «Операции Триангуляция». Два из них были созданы уже после раскрытия кампании. Все пять эксплоитов построены на общей кодовой базе, а сходства прослеживаются и в других компонентах фреймворка.
Эксперты рекомендуют всем владельцам iPhone срочно установить последние обновления iOS, поскольку Apple уже выпустила патчи для уязвимостей, используемых в Coruna.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь