🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Google disse que identificou um kit de exploração “novo e poderoso” chamado Coruna (também conhecido como CryptoWaters) direcionado a modelos de iPhone da Apple executando versões iOS entre 13.0 e 17.2.1.
O kit de exploração apresentava cinco cadeias completas de exploração do iOS e um total de 23 explorações, disse o Google Threat Intelligence Group (GTIG). Não é eficaz na versão mais recente do iOS. As descobertas foram relatadas pela primeira vez pela WIRED.
“O principal valor técnico deste kit de exploração reside em sua coleção abrangente de explorações do iOS, com as mais avançadas usando técnicas de exploração não públicas e desvios de mitigação”, de acordo com o GTIG. "A estrutura que envolve o kit de exploração é extremamente bem projetada; as peças de exploração são todas conectadas naturalmente e combinadas usando utilitários comuns e estruturas de exploração."
Diz-se que o kit circulou entre vários atores de ameaças desde fevereiro de 2025, passando de uma operação de vigilância comercial para um atacante apoiado pelo governo e, finalmente, para um ator de ameaça com motivação financeira operando na China em dezembro.
Atualmente não se sabe como o kit de exploração mudou de mãos, mas as descobertas apontam para um mercado ativo para explorações de dia zero de segunda mão, permitindo que outros atores de ameaças os reutilizem para seus próprios objetivos. Em um relatório relacionado, o iVerify disse que o kit de exploração tem semelhanças com estruturas anteriores desenvolvidas por agentes de ameaças afiliados ao governo dos EUA.
“Coruna é um dos exemplos mais significativos que observamos de capacidades sofisticadas de spyware proliferando de fornecedores de vigilância comercial para as mãos de atores estatais e, em última análise, de operações criminosas em grande escala”, disse iVerify.
O fornecedor de segurança móvel disse que o uso da sofisticada estrutura de exploração marca a primeira exploração em massa observada contra dispositivos iOS, indicando que os ataques de spyware estão deixando de ser altamente direcionados para serem de ampla implantação.
O Google disse que primeiro capturou partes de uma cadeia de exploração do iOS usada por um cliente de uma empresa de vigilância não identificada no início do ano passado, com as explorações integradas em uma estrutura JavaScript nunca antes vista. A estrutura foi projetada para imprimir impressões digitais no dispositivo para determinar se ele é real e coletar detalhes, incluindo o modelo específico do iPhone e a versão do software iOS que está sendo executado.
A estrutura então carrega a exploração de execução remota de código (RCE) apropriada do WebKit com base nos dados de impressão digital, seguida pela execução de um desvio de código de autenticação de ponteiro (PAC). A exploração em questão está relacionada ao CVE-2024-23222, um bug de confusão de tipo no WebKit que foi corrigido pela Apple em janeiro de 2024 com iOS 17.3 e iPadOS 17.3 e iOS 16.7.5 e iPadOS 16.7.5.
Avançando para julho de 2025, a mesma estrutura JavaScript foi detectada no domínio “cdn.uacounter[.]com”, que foi carregado como um iFrame oculto em sites ucranianos comprometidos. Isso incluiu sites voltados para equipamentos industriais, ferramentas de varejo, serviços locais e comércio eletrônico. Um suposto grupo de espionagem russo chamado UNC6353 está por trás da campanha.
O interessante da atividade é que a estrutura foi entregue apenas a determinados usuários do iPhone a partir de uma geolocalização específica. As explorações implantadas como parte da estrutura consistiam em CVE-2024-23222, CVE-2022-48503 e CVE-2023-43000, a última das quais é uma falha de uso após livre no WebKit.
É importante notar que CVE-2023-43000 foi abordado pela Apple no iOS 16.6 e iPadOS 16.6, lançado em julho de 2023. No entanto, as notas de versão de segurança foram atualizadas para incluir uma entrada para a vulnerabilidade apenas em 11 de novembro de 2025.
A terceira vez que a estrutura JavaScript foi detectada foi em dezembro de 2025. Descobriu-se que um conjunto de sites chineses falsos, a maioria deles relacionados a finanças, descartava o kit de exploração do iOS após instruir os usuários a visitá-los em um iPhone ou iPad para uma melhor experiência do usuário. A atividade é atribuída a um cluster de ameaças rastreado como UNC6691.
Depois que esses sites são acessados por meio de um dispositivo iOS, um iFrame oculto é injetado para entregar o kit de exploração Coruna contendo CVE-2024-23222. A entrega da exploração, neste caso, não foi limitada por nenhum critério de geolocalização.
Uma análise mais aprofundada da infraestrutura do agente da ameaça levou à descoberta de uma versão de depuração do kit de exploração, juntamente com vários exemplos cobrindo cinco cadeias completas de exploração do iOS. Um total de 23 explorações abrangendo versões do iOS 13 ao iOS 17.2.1 foram identificadas.
Alguns dos CVEs explorados pelo kit e as versões iOS correspondentes que eles visaram estão listados abaixo:
Nêutron - CVE-2020-27932 (versões 13.x)
Dínamo - CVE-2020-27950 (versões 13.x)
buffout - CVE-2021-30952 (versões 13 → 15.1.1)
jacurutu - CVE-2022-48503 (versões 15.2 → 15.5)
IronLoader - CVE-2023-32409 (versões 16.0 → 16.3.116.4.0)
Fóton - CVE-2023-32434 (versões 14.5 → 15.7.
O kit de exploração apresentava cinco cadeias completas de exploração do iOS e um total de 23 explorações, disse o Google Threat Intelligence Group (GTIG). Não é eficaz na versão mais recente do iOS. As descobertas foram relatadas pela primeira vez pela WIRED.
“O principal valor técnico deste kit de exploração reside em sua coleção abrangente de explorações do iOS, com as mais avançadas usando técnicas de exploração não públicas e desvios de mitigação”, de acordo com o GTIG. "A estrutura que envolve o kit de exploração é extremamente bem projetada; as peças de exploração são todas conectadas naturalmente e combinadas usando utilitários comuns e estruturas de exploração."
Diz-se que o kit circulou entre vários atores de ameaças desde fevereiro de 2025, passando de uma operação de vigilância comercial para um atacante apoiado pelo governo e, finalmente, para um ator de ameaça com motivação financeira operando na China em dezembro.
Atualmente não se sabe como o kit de exploração mudou de mãos, mas as descobertas apontam para um mercado ativo para explorações de dia zero de segunda mão, permitindo que outros atores de ameaças os reutilizem para seus próprios objetivos. Em um relatório relacionado, o iVerify disse que o kit de exploração tem semelhanças com estruturas anteriores desenvolvidas por agentes de ameaças afiliados ao governo dos EUA.
“Coruna é um dos exemplos mais significativos que observamos de capacidades sofisticadas de spyware proliferando de fornecedores de vigilância comercial para as mãos de atores estatais e, em última análise, de operações criminosas em grande escala”, disse iVerify.
O fornecedor de segurança móvel disse que o uso da sofisticada estrutura de exploração marca a primeira exploração em massa observada contra dispositivos iOS, indicando que os ataques de spyware estão deixando de ser altamente direcionados para serem de ampla implantação.
O Google disse que primeiro capturou partes de uma cadeia de exploração do iOS usada por um cliente de uma empresa de vigilância não identificada no início do ano passado, com as explorações integradas em uma estrutura JavaScript nunca antes vista. A estrutura foi projetada para imprimir impressões digitais no dispositivo para determinar se ele é real e coletar detalhes, incluindo o modelo específico do iPhone e a versão do software iOS que está sendo executado.
A estrutura então carrega a exploração de execução remota de código (RCE) apropriada do WebKit com base nos dados de impressão digital, seguida pela execução de um desvio de código de autenticação de ponteiro (PAC). A exploração em questão está relacionada ao CVE-2024-23222, um bug de confusão de tipo no WebKit que foi corrigido pela Apple em janeiro de 2024 com iOS 17.3 e iPadOS 17.3 e iOS 16.7.5 e iPadOS 16.7.5.
Avançando para julho de 2025, a mesma estrutura JavaScript foi detectada no domínio “cdn.uacounter[.]com”, que foi carregado como um iFrame oculto em sites ucranianos comprometidos. Isso incluiu sites voltados para equipamentos industriais, ferramentas de varejo, serviços locais e comércio eletrônico. Um suposto grupo de espionagem russo chamado UNC6353 está por trás da campanha.
O interessante da atividade é que a estrutura foi entregue apenas a determinados usuários do iPhone a partir de uma geolocalização específica. As explorações implantadas como parte da estrutura consistiam em CVE-2024-23222, CVE-2022-48503 e CVE-2023-43000, a última das quais é uma falha de uso após livre no WebKit.
É importante notar que CVE-2023-43000 foi abordado pela Apple no iOS 16.6 e iPadOS 16.6, lançado em julho de 2023. No entanto, as notas de versão de segurança foram atualizadas para incluir uma entrada para a vulnerabilidade apenas em 11 de novembro de 2025.
A terceira vez que a estrutura JavaScript foi detectada foi em dezembro de 2025. Descobriu-se que um conjunto de sites chineses falsos, a maioria deles relacionados a finanças, descartava o kit de exploração do iOS após instruir os usuários a visitá-los em um iPhone ou iPad para uma melhor experiência do usuário. A atividade é atribuída a um cluster de ameaças rastreado como UNC6691.
Depois que esses sites são acessados por meio de um dispositivo iOS, um iFrame oculto é injetado para entregar o kit de exploração Coruna contendo CVE-2024-23222. A entrega da exploração, neste caso, não foi limitada por nenhum critério de geolocalização.
Uma análise mais aprofundada da infraestrutura do agente da ameaça levou à descoberta de uma versão de depuração do kit de exploração, juntamente com vários exemplos cobrindo cinco cadeias completas de exploração do iOS. Um total de 23 explorações abrangendo versões do iOS 13 ao iOS 17.2.1 foram identificadas.
Alguns dos CVEs explorados pelo kit e as versões iOS correspondentes que eles visaram estão listados abaixo:
Nêutron - CVE-2020-27932 (versões 13.x)
Dínamo - CVE-2020-27950 (versões 13.x)
buffout - CVE-2021-30952 (versões 13 → 15.1.1)
jacurutu - CVE-2022-48503 (versões 15.2 → 15.5)
IronLoader - CVE-2023-32409 (versões 16.0 → 16.3.116.4.0)
Fóton - CVE-2023-32434 (versões 14.5 → 15.7.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #coruna #ios #exploit #kit #usa #23 #exploits #em #cinco #cadeias #visando #ios #13–17.2.1
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário