**Coruna**エクスプロイトキットは、以前Operation Triangulationスパイウェアキャンペーンで使用されていたフレームワークの重要な進化形です。2019年から活動しているこのキャンペーンは、ゼロクリックiMessageエクスプロイトを通じてiPhoneを標的にしていたことで知られています。 ### 標的範囲の拡大 更新されたソフトウェアは、現在、Appleの最新鋭の**A17**および**M3**チップ、そして**iOS 17.2**までのオペレーティングシステムを特に標的として、より広範な対象に拡大しています。この拡大は、最新のハードウェアおよびソフトウェア防御に対抗するための継続的な取り組みを示しています。 ### エクスプロイトチェーンと脆弱性 **Coruna**は5つの完全なiOSエクスプロイトチェーンを組み込み、合計23件の脆弱性を悪用しています。特に、Operation Triangulationで以前に悪用された脆弱性である**CVE-2023-32434**および**CVE-2023-38606**を再利用しています。**Kaspersky**の研究者たちは、**Coruna**キットがOperation Triangulationで使用されたエクスプロイトの更新バージョンを使用していることを発見しました。 > 「分析中に、Corunaで使用されているCVE-2023-32434およびCVE-2023-38606の脆弱性に対するカーネルエクスプロイトは、実際にはOperation Triangulationで使用されたものと同じエクスプロイトの更新バージョンであることが判明しました」と研究者たちは本日[レポート](https://securelist.com/coruna-framework-updated-operation-triangulation-exploit/119228/)で述べています。 ### 攻撃フロー **Kaspersky**の分析によると、攻撃シーケンスはSafariのステージャーから始まります。この初期段階でターゲットデバイスのフィンガープリントを取得し、適切なリモートコード実行（RCE）およびポインター認証コード（PAC）エクスプロイトを選択し、後続のステージに必要な暗号化されたメタデータを取得します。その後、ペイロードは追加の暗号化されたコンポーネントをダウンロードし、ChaCha20を使用してそれらを復号化し、LZMAで圧縮し、カスタムコンテナフォーマットを解析してパッケージ情報を抽出します。最後に、デバイスのアーキテクチャとiOSバージョンに基づいて、カーネルエクスプロイト、Mach-Oローダー、およびランチャーを選択して実行し、スパイウェアインプラントを展開します。  _出典: Kaspersky_ **Kaspersky**の発見によると、ペイロードはARM64およびARM64Eアーキテクチャの両方をサポートしており、**A17**、**M3**、**M3 Pro**、および**M3 Max**チップの明示的なチェックも含まれています。パッケージIDとシステムチェックにより、エクスプロイトは以下を標的にできることが示唆されています。 * iOS < 14.0 beta 7 * iOS < 14.7 * iOS < 16.5 beta 4 * iOS < 16.6 beta 5 * iOS < 17.2 ### Triangulationとの関連 **Kaspersky**グローバルリサーチ＆アナリシスチーム（GReAT）のプリンシパルセキュリティリサーチャーである**Boris Larin**は、Triangulationとの関連性を強調しました。「Corunaは公開されているエクスプロイトの寄せ集めではなく、オリジナルのOperation Triangulationフレームワークの継続的に維持されている進化形です。」開発者は、新しいプロセッサ（例：M3）やiOSビルドのチェックを含めるためにフレームワークを積極的に更新しています。 ### スパイウェアから仮想通貨詐欺へ **Coruna**は、偽の交換サイトを通じた仮想通貨詐欺を標的とした金銭目的のキャンペーンでも確認されています。**Larin**が指摘するように、「精密なスパイウェアツールとして始まったものが、現在では無差別に展開されています。」 ### その他のiOSエクスプロイトキット 今回の開示は、モバイルセキュリティ企業である**Lookout**と**iVerify**、そして**Google**の研究者たちによって、別のエクスプロイトキットである**DarkSword**が最近発見されたことに続くものです。**DarkSword**も複数の脅威アクターによって使用されており、主にスパイウェア目的です。**DarkSword**の一般公開は、サイバー犯罪者がパッチが適用されていないiPhoneに対してそれを悪用するリスクを高めます。 ### Appleの対応 **Apple**は、これらの最近発見されたエクスプロイトキットに対処する[セキュリティ情報](https://support.apple.com/en-us/126776)をリリースし、特定されたすべての脆弱性の修正が最新および以前のiOSバージョンのセキュリティアップデートに含まれていると述べています。