Googleは3月4日(米国時間)、「Coruna: The Mysterious Journey of a Powerful iOS Exploit Kit|Google Cloud Blog」において、iPhoneを標的とする強力なエクスプロイトキット「Coruna」を発見したとして、注意を呼び掛けた。

CorunaはiOS 13.0(2019年9月リリース)からiOS 17.2.1(2023年12月リリース)までを標的とする。被害者が悪意のあるWebサイトにアクセスすると、暗号資産ウォレットなどの機密情報を窃取されるという。

  • Coruna iOSエクスプロイトキットのタイムライン 出典:Google Cloud Blog

    Coruna iOSエクスプロイトキットのタイムライン 出典:Google Cloud Blog

エクスプロイトキット「Coruna」の概要

Corunaを使用した攻撃キャンペーンは、ロシアのスパイグループと疑われる「UNC6353」の事案と、中国を拠点とする脅威アクター「UNC6691」の事案が特定されている。Google脅威インテリジェンスグループ(GTIG: Google Threat Intelligence Group)は前者の事案においてCorunaの存在を確認し、次に後者の大規模キャンペーンにおいて完全なエクスプロイトキットの入手に成功したことを報告している。

いずれのキャンペーンにおいても初期の侵害経路として「水飲み場型攻撃」の使用が確認された。この手法は悪意のあるWebサイトにアクセスしたユーザーを無差別に攻撃するものだが、ロシアのケースではデバイスの位置情報を特定し、ウクライナのユーザーに限定して攻撃を行ったとされる。

Corunaの攻撃手法

被害者が悪意のあるWebサイトにアクセスすると、最初にiPhoneのモデルとiOSバージョンが特定され、デバイスの環境に合わせたエクスプロイトチェーンが開始される。エクスプロイトチェーンは5つ特定されており、合計で23の脆弱性を悪用して侵害を試みるという。

GTIGが特定したエクスプロイトチェーンのおおまかな概要は次のとおり。

  • デバイスがロックダウンモードまたはプライベートブラウジングモードの場合は攻撃を中止する
  • WebKit(AppleのHTMLレンダリングエンジン)の脆弱性を悪用し、リモートコード実行(RCE: Remote Code Execution)を可能にする
  • メモリー破壊を引き起こす不具合の悪用を防止する「ポインタ認証コード」をバイパスする
  • 最終的にマルウェア「PlasmaLoader」を実行する。PlasmaLoaderは電源管理プロセスの「powerd(Power Daemon)」に自身をインジェクションする

最終的に展開されるPlasmaLoaderには次の機能があるとされる。

  • 金融情報の窃取
  • 画像からQRコードをデコードして窃取
  • メモアプリなどに保存されたテキストを解析してバックアップフレーズや銀行口座情報などを窃取
  • 追加モジュールの実行(暗号資産アプリからウォレットや機密情報を窃取)

追加のモジュールからは中国語のコメントおよび絵文字が発見されている。GTIGはこの絵文字の特徴から、モジュールは大規模言語モデル(LLM: Large Language Model)によって生成された可能性があると指摘している。

iPhoneユーザーはアップデートの確認を

Googleの報告によると、エクスプロイトキット「Coruna」は最新のiOSバージョンにアップデートすることで防御可能とされる。最低でもiOS 17.3以降、可能であればiOS 17.5以降にアップデートする必要があり、これより前のバージョンを実行している場合は侵害される可能性がある。デバイスのモデルが古く、17.3以降にアップデートできない場合はデバイスを買い替えることが推奨される。