Il Global Research and Analysis Team (GReAT) di Kaspersky ha condotto un’analisi a livello di codice degli exploit Coruna, stabilendo che il kit rappresenta una versione aggiornata e diretta del framework utilizzato, almeno in parte, nella campagna di spionaggio informatico denominata “Operation Triangulation”. Kaspersky ritiene che gli exploit del kernel presenti sia in Triangulation sia in Coruna siano stati sviluppati dallo stesso autore.
L’analisi ha inoltre rivelato che uno dei cinque exploit del kernel inclusi nel kit è una versione aggiornata dello stesso exploit scoperto da Kaspersky durante Operation Triangulation nel 2023. I restanti quattro, tra cui due sviluppati dopo la divulgazione pubblica di Operation Triangulation, si basano sul medesimo framework. Le somiglianze nel codice non si limitano agli exploit del kernel, ma si estendono anche ad altri componenti di Coruna, portando Kaspersky a concludere che il kit non è composto da elementi eterogenei, bensì rappresenta un’evoluzione costante del framework originale.
Il codice include il supporto per i processori Apple A17, M3, M3 Pro e M3 Max, oltre a riferimenti alle versioni di iOS fino alla 17.2, tutte rilasciate tra l’autunno e l’inverno del 2023. È inoltre presente un controllo specifico per iOS 16.5 beta 4, la versione distribuita da Apple per correggere le vulnerabilità segnalate da Kaspersky.
" Quando Coruna è stata segnalata per la prima volta, le prove disponibili non erano sufficienti per collegarne il codice a Triangulation: la semplice presenza di vulnerabilità in comune non dimostra, di per sé, una responsabilità condivisa. Ora che abbiamo analizzato i file binari effettivi, il quadro è cambiato. Coruna non è un mosaico di exploit pubblici, ma un'evoluzione costantemente aggiornata del framework originale di Operation Triangulation. L'inclusione di controlli per processori recenti come l'M3 e per le versioni più recenti di iOS dimostra che gli sviluppatori originali hanno continuato ad ampliare attivamente questo codice base. Quello che era nato come uno strumento di spionaggio di precisione viene ora utilizzato in modo indiscriminato ", ha dichiarato Boris Larin, Principal Security Researcher di Kaspersky GReAT.
Kaspersky invita tutti gli utenti iPhone a installare immediatamente gli ultimi aggiornamenti di iOS. Sebbene le vulnerabilità sfruttate da Coruna siano state corrette da Apple, i dispositivi che non hanno ancora installato gli aggiornamenti restano esposti a rischi.
L’analisi tecnica completa è disponibile su Securelist.com.
Operation Triangulation è una campagna di Advanced Persistent Threat (APT) rivolta ai dispositivi iOS, resa nota per la prima volta nel giugno 2023. Kaspersky ha individuato la campagna monitorando il traffico di rete della propria rete Wi-Fi aziendale: l’attore malevolo aveva preso di mira i dispositivi iOS di decine di dipendenti. I ricercatori hanno identificato quattro vulnerabilità zero-day sfruttate nella campagna, che interessavano un’ampia gamma di prodotti Apple.
Per proteggersi da attacchi mirati, condotti da attori noti o sconosciuti, i ricercatori di Kaspersky raccomandano di:
· Centralizzare il monitoraggio degli eventi su tutta l’infrastruttura utilizzando Kaspersky SIEM, così da ottenere una visibilità completa sugli eventi di sicurezza e migliorare l’efficienza operativa.
· Aggiornare regolarmente sistemi operativi, applicazioni e programmi di sicurezza per correggere eventuali vulnerabilità note.
· Fornire al team di sicurezza informatica una visibilità approfondita sulle minacce che prendono di mira l’organizzazione. L’ultima versione di Kaspersky Threat Intelligence offre un contesto ricco e significativo lungo tutto il ciclo di gestione degli incidenti, facilitando l’identificazione tempestiva dei rischi.
· Migliorare le competenze del team di sicurezza informatica per affrontare le minacce mirate più recenti, grazie alla formazione pratica offerta da Kaspersky Cybersecurity Training.
· Per garantire una protezione efficace degli endpoint e sviluppare capacità di risposta agli incidenti, utilizzare le soluzioni della linea Kaspersky Next. Grazie a funzionalità EDR essenziali, controlli avanzati, gestione delle patch e sicurezza cloud, queste soluzioni offrono visibilità sulle minacce, indagini guidate e capacità di risposta, consentendo alle aziende di contrastare rapidamente anche gli attacchi più evasivi con risorse minime.
