Le kit d’exploitation Coruna représente une avancée par rapport au cadre utilisé lors de la campagne d’espionnage Operation Triangulation, qui a ciblé les iPhones en 2023 grâce à des exploits iMessage sans interaction utilisateur.
Ce logiciel a été conçu pour s’adapter au matériel moderne, visant notamment les puces A17 et M3, et compatible avec les systèmes jusqu’à iOS 17.2.
Coruna intègre cinq chaînes d’exploits iOS exploitant 23 vulnérabilités, y compris les failles CVE-2023-32434 et CVE-2023-38606, déjà utilisées dans l’Operation Triangulation.
Les chercheurs de Kaspersky ont analysé le code des exploits liés à ces deux vulnérabilités et ont établi que Coruna est une version mise à jour des exploits déployés dans le cadre de la campagne de 2019.
Des similarités dans le code ont conforté l’idée que ce kit est le successeur du cadre malveillant utilisé lors de la campagne Triangulation qui avait également ciblé des iPhones sur le réseau de Kaspersky.
« Au cours de notre analyse, nous avons découvert que l’exploit de noyau utilisé pour les vulnérabilités CVE-2023-32434 et CVE-2023-38606 présent dans Coruna est en réalité une version mise à jour de l’exploit originel de l’Operation Triangulation », déclarent les chercheurs dans un rapport récent.
L’analyse de Kaspersky révèle que l’attaque débute dans Safari par un dispositif de collecte d’informations sur le terminal, qui sélectionne les exploits d’exécution de code à distance (RCE) et PAC appropriés, puis récupère des métadonnées cryptées pour les étapes suivantes.
Le payload télécharge des composants supplémentaires cryptés, les déchiffre à l’aide de l’algorithme ChaCha20, les décompresse avec LZMA et parse des formats de conteneurs personnalisés pour obtenir des informations sur le package.
Selon l’architecture de l’appareil et la version d’iOS, il choisit et exécute l’exploit de noyau, le loader Mach-O et le lanceur pour déployer l’implant de spyware.
Les découvertes de Kaspersky indiquent que ces payloads peuvent cibler les architectures ARM64 et ARM64E, avec des vérifications spécifiques pour les puces A17, M3, M3 Pro et M3 Max.
Les identifiants de packages et les vérifications système montrent également que les exploits peuvent cibler :
- iOS < 14.0 beta 7
- iOS < 14.7
- iOS < 16.5 beta 4
- iOS < 16.6 beta 5
- iOS < 17.2
Boris Larin, chercheur principal au sein de l’équipe de recherche et d’analyse globale de Kaspersky (GReAT), souligne que le lien avec Triangulation est devenu évident après l’analyse des binaires de Coruna.
« Coruna n’est pas un assemblage d’exploits publics ; c’est une évolution continuellement maintenue de l’original cadre d’Operation Triangulation », affirme-t-il.
Les développeurs ont également mis à jour le cadre en incluant des vérifications pour les nouveaux processeurs, tels que le M3 et les versions d’iOS.
Avec l’utilisation de Coruna dans des campagnes visant à dérober des crypto-monnaies à travers des sites d’échanges frauduleux, Larin indique que « ce qui a commencé comme un outil d’espionnage de précision est désormais utilisé de manière indiscriminée. »
Operation Triangulation était une campagne d’espionnage iOS particulièrement sophistiquée exploitant plusieurs failles zero-day pour infecter discrètement les iPhones et déployer des implants de spyware.
Découverte par Kaspersky lors de la surveillance d’un réseau Wi-Fi interne en juin 2023, cette campagne avait débuté quatre ans auparavant.
Fin 2023, les chercheurs ont constaté que ces attaques utilisaient des fonctionnalités non documentées dans les puces d’Apple pour contourner les protections de sécurité matérielles.
Un autre kit d’exploitation, désigné sous le nom de DarkSword, a été révélé plus tôt ce mois-ci par des chercheurs des entreprises de sécurité mobile Lookout, iVerify et Google.
À l’instar de Coruna, DarkSword est employé par plusieurs acteurs menaçants, tous semblant l’utiliser pour des opérations d’espionnage. Il est important de souligner que DarkSword est maintenant accessible publiquement, augmentant le risque que des cybercriminels l’exploitent contre des iPhones non patchés.
Apple a émis un bulletin pour traiter les kits d’exploitation récemment découverts, soulignant que des correctifs pour toutes les vulnérabilités ont été déployés à travers les mises à jour de sécurité pour les versions iOS actuelles et antérieures.