Das **Coruna** Exploit Kit stellt eine bedeutende Weiterentwicklung des Frameworks dar, das zuvor in der Spionagekampagne Operation Triangulation eingesetzt wurde. Diese Kampagne, die seit 2019 aktiv ist, zielte bekanntermaßen auf iPhones durch Zero-Click iMessage-Exploits ab. ### Erweiterter Zielbereich Die aktualisierte Software zielt nun breiter und richtet sich speziell gegen Apples modernste **A17**- und **M3**-Chips sowie Betriebssysteme bis **iOS 17.2**. Diese Erweiterung deutet auf anhaltende Bemühungen hin, gegen die neuesten Hardware- und Software-Abwehrmaßnahmen relevant zu bleiben. ### Exploit-Ketten und Schwachstellen **Coruna** integriert fünf vollständige iOS-Exploit-Ketten, die insgesamt 23 Schwachstellen ausnutzen. Bemerkenswert ist die Wiederverwendung von **CVE-2023-32434** und **CVE-2023-38606**, zwei Schwachstellen, die zuvor in Operation Triangulation ausgenutzt wurden. Forscher von **Kaspersky** entdeckten, dass das **Coruna**-Kit eine aktualisierte Version des Exploits verwendet, der in Operation Triangulation eingesetzt wurde. > „Während unserer Analyse haben wir festgestellt, dass der Kernel-Exploit für die Schwachstellen CVE-2023-32434 und CVE-2023-38606, die in Coruna verwendet werden, tatsächlich eine aktualisierte Version desselben Exploits ist, der in Operation Triangulation verwendet wurde“, so die Forscher heute in einem [Bericht](https://securelist.com/coruna-framework-updated-operation-triangulation-exploit/119228/). ### Angriffsablauf Laut der Analyse von **Kaspersky** beginnt die Angriffssequenz in Safari mit einem Stager. Diese anfängliche Phase identifiziert das Zielgerät, wählt geeignete Remote Code Execution (RCE)- und Pointer Authentication Code (PAC)-Exploits aus und ruft verschlüsselte Metadaten ab, die für nachfolgende Phasen erforderlich sind. Die Payload lädt dann zusätzliche verschlüsselte Komponenten herunter, entschlüsselt diese mit ChaCha20, dekomprimiert sie mit LZMA und parst benutzerdefinierte Containerformate, um Paketinformationen zu extrahieren. Schließlich wählt und führt es, basierend auf der Architektur und der iOS-Version des Geräts, den Kernel-Exploit, den Mach-O-Loader und den Launcher aus, um das Spyware-Implantat bereitzustellen.  _Quelle: Kaspersky_ Die Erkenntnisse von **Kaspersky** zeigen auch, dass die Payloads sowohl ARM64- als auch ARM64E-Architekturen unterstützen, einschließlich expliziter Prüfungen für **A17**-, **M3**-, **M3 Pro**- und **M3 Max**-Chips. Die Paket-IDs und Systemprüfungen deuten ferner darauf hin, dass die Exploits zielen können auf: * iOS < 14.0 beta 7 * iOS < 14.7 * iOS < 16.5 beta 4 * iOS < 16.6 beta 5 * iOS < 17.2 ### Triangulation-Verbindung **Boris Larin**, Principal Security Researcher im Global Research and Analysis Team (GReAT) von **Kaspersky**, betonte die Verbindung zu Triangulation: „Coruna ist kein Flickenteppich aus öffentlichen Exploits; es ist eine kontinuierlich gepflegte Weiterentwicklung des ursprünglichen Operation Triangulation-Frameworks.“ Die Entwickler aktualisieren das Framework aktiv, um Prüfungen für neuere Prozessoren (z. B. M3) und iOS-Builds aufzunehmen. ### Von Spionage zu Kryptowährungsdiebstahl **Coruna** wurde auch in finanziell motivierten Kampagnen beobachtet, die auf Kryptowährungsdiebstahl durch gefälschte Börsen-Websites abzielen. Wie **Larin** anmerkt: „Was als präzises Spionageinstrument begann, wird nun wahllos eingesetzt.“ ### Andere iOS Exploit Kits Diese Enthüllung folgt auf die kürzliche Entdeckung eines weiteren Exploit Kits, **DarkSword**, durch Forscher von den Mobile-Security-Unternehmen **Lookout** und **iVerify** sowie **Google**. **DarkSword** wird ebenfalls von mehreren Bedrohungsakteuren genutzt, hauptsächlich für Spionage. Die öffentliche Verfügbarkeit von **DarkSword** erhöht das Risiko, dass Cyberkriminelle es gegen ungepatchte iPhones einsetzen. ### Apples Reaktion **Apple** hat ein [Sicherheitsbulletin](https://support.apple.com/en-us/126776) veröffentlicht, das sich mit diesen kürzlich aufgedeckten Exploit Kits befasst, und erklärt, dass Korrekturen für alle identifizierten Schwachstellen in Sicherheitsupdates für die neuesten und früheren iOS-Versionen enthalten sind.