Seit langem sind explodierte Kits aufgehört, nur Testwerkzeuge zu sein, um anspruchsvolle Angriffsplattformen zu werden. Ein jüngstes Beispiel ist das sogenannte Coruna-Framework, das nach der Analyse von Kaspersky-Forschern eine Kontinuität und Modernisierung der Reihe von Werkzeugen darstellt, die in der Spionagekampagne verwendet werden, die als Operation Triangulation bezeichnet wird. Diese Kampagne, die im Jahr 2023 entdeckt wurde, wurde für die Verwendung von "Null-Click" Exploits auf iMessage, die iPhone ohne Benutzerinteraktion kompromittieren erlaubt; Coruna nimmt diese Basis und nimmt sie zur nächsten Generation von Hardware- und iOS-Versionen. Weitere technische Details und Hinweise zum Link finden Sie in Kasperskys Bericht veröffentlicht von seinem Team GReAT.
Aus technischer Sicht ist Coruna keine isolierte Explosion, sondern ein modulares Bausatz: es umfasst fünf komplette Betriebssystemketten für iOS, die gemeinsam 23 bekannte und bislang private Schwachstellen nutzen. Unter diesen Fehlern sind diejenigen, die als CVE-2023-32434 und CVE-2023-38606, von denen zwei bereits Teil des Triangulation Repertoires waren. Kasperskys Analysearbeit zeigte, dass ein Teil des ausbeutenden Codes, der gegen diese Schwachstellen verwendet wird, eine überarbeitete und gepflegte Version der ursprünglichen Explosion ist, was eine anhaltende Entwicklung desselben Projekts vor Jahren nahelegt.
Coruna wurde erweitert, um moderne Architekturen zu erkennen und zu attackieren: Die Binäre umfassen explizite Kontrollen für Chips wie die A17 Familie M3(M3, M3 Pro und M3 Max) und sie unterstützen Hinrichtungen in ARM64 und ARM64E. Was die Betriebssysteme angeht, ermöglichen die Überprüfungen und Conditioner im Paket die Auswahl von Exploits und Ladegeräten, die für Geräte mit iOS-Versionen bis zu iOS 17.2 und sogar für das vorherige Beta-Gebäude geeignet sind. Diese Kombination aus Hardware und Software-Unterstützung macht Coruna zu einer Bedrohung, die sich von relativ alten Teams bis zu den neuesten Apple-Modellen auswirken kann.
Der von den Forschern beschriebene Infektionsprozess beginnt im Safari-Browser durch einen kleinen "Manager", der Informationen vom Gerät sammelt, die in Sicherheit als Fingerabdruck bezeichnet wird, um festzustellen, welche Ausführungswege (CER) und Vermeidungstechniken anwendbar sind. Von dieser Entscheidung erholt der Angreifer verschlüsselte Metadaten, die die folgenden Stufen führen. Das schädliche Paket lädt zusätzliche kryptographisch geschützte Komponenten herunter, die dann entschlüsselt werden (die Analysen sprechen über die Verwendung von ChaCha20), unkomprimiert (LZMA) und von benutzerdefinierten Containern entpackt werden, bis Sie die endgültigen ausführbaren Elemente erhalten: der relevante Kernelstrahl, ein Mach-O-Ladegerät und der Starter, der das Implantat entfaltet.
Dieser modulare Ansatz ermöglicht es dem Kit, die genaue Explosion entsprechend der Architektur und iOS-Version des Ziels dynamisch zu wählen, was die Erfolgsrate und die Persistenz des Angriffs erhöht. Darüber hinaus betont Kasperskys Analyse, dass der Code die Kontinuität mit Triangulation über die bloße Wiederverwendung von Fehlern hinaus zeigt: Es gibt Entwicklungsspuren und kontinuierliche Tests, die auf ein Team oder einen Schauspieler hinweisen, der den Rahmen im Laufe der Zeit beibehalten und aktualisiert hat.
Beunruhigend ist die Diversifizierung der Verwendungen: Was als hochzielgerichtetes Spionage-Tool begann, erscheint nun auch in Kampagnen mit wirtschaftlicher Motivation, zum Beispiel Kryptomonedas durch betrügerische Austauschseiten zu stehlen, die legitime Plattformen imitieren. Diese Zielverschiebung zeigt einen besorgniserregenden Trend: Werkzeuge, die ursprünglich für Akteure mit Ressourcen reserviert sind, werden nun von Gruppen für rein kriminelle Zwecke verwendet oder zumindest angepasst. Parallel wurden andere Plattformen wie das DarkSword-Kit kürzlich verbreitet und in Umlauf unter mehreren Akteuren, was das Risiko für Geräte, die nicht aktuell sind, weiter erhöht.
Angesichts dieses Bildes ist die erste Verteidigungslinie klar: Halten Sie die Geräte mit den Sicherheitsupdates angewendet. Apple hat einen Newsletter mit Patches veröffentlicht, die die neu beschriebenen Schwachstellen korrigieren; es wird empfohlen, dass alle Benutzer und Administratoren diese Updates so schnell wie möglich installieren. Die offizielle Apple Note ist auf Ihrer Support-Seite verfügbar. auf dem Sicherheitsinhalt.
Neben der Aktualisierung ist es angebracht, einfache, aber effektive Praktiken zu übernehmen: nicht öffnen verdächtige Links oder Seiten, Misstrauen von Websites, die Finanzdienstleistungen imitieren, automatische Updates aktivieren und zusätzliche Schutzmechanismen für empfindliche Vermögenswerte verwenden, wie die Authentifizierung von mehreren Faktoren und, im Falle von Kryptomonedas, kalte Portfolios (Hardware Wallets). Unternehmen und Behörden sollten den Sicherheitsführern und Hinweisen ihrer Lieferanten und Cybersicherheitsbehörden folgen, um Risiken zu bewerten und Risiken zu mindern.
Corunas Geschichte erinnert an ein wiederkehrendes Muster in der Cybersicherheit: Ausbeutungen und Plattformen, die für gerichtete Operationen entwickelt wurden, können schließlich viel zugänglicher und gefährlichere Werkzeuge werden, wenn aktualisiert, umverteilt oder repliziert. Die Schlussfolgerung ist sowohl technisch als auch praktisch: Prävention und digitale Hygiene bleiben die wirksamste Barriere gegen Bedrohungen, die sich so schnell entwickeln wie die Chips und Systeme, die sie verletzen wollen.
Für diejenigen, die das Thema vertiefen wollen, gibt es neben Kasperskys Bericht auch eine Abdeckung und Analyse in spezialisierten Medien, die den technischen Kontext und die Auswirkungen auf Benutzer und Organisationen erweitern; ein nützlicher Ausgangspunkt ist die journalistische Chronik über die jüngste Verwendung von Coruna im Diebstahl von Kryptoaktiv in BlepingComputer und mit Warnungen und Richtlinien von Behörden, der Website der CISA liefert relevante Ressourcen und Warnungen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...