Google, 13.0 ile 17.2.1 arasındaki iOS sürümlerini çalıştıran Apple iPhone modellerini hedef alan Coruna (diğer adıyla CryptoWaters) adlı “yeni ve güçlü” bir istismar kiti tespit ettiğini söyledi.
Google Tehdit İstihbarat Grubu (GTIG), istismar kitinde beş tam iOS istismar zinciri ve toplam 23 istismar bulunduğunu söyledi. İOS’un en son sürümüne karşı etkili değildir. Bulgular ilk olarak WIRED tarafından bildirildi.
GTIG’ye göre, “Bu istismar kitinin temel teknik değeri, en gelişmişlerinin kamuya açık olmayan istismar teknikleri ve hafifletme bypass’larını kullandığı kapsamlı iOS istismarları koleksiyonunda yatmaktadır.” “İstisna kitini çevreleyen çerçeve son derece iyi tasarlanmış; istismar parçalarının tümü doğal olarak birbirine bağlı ve ortak fayda ve yararlanma çerçeveleri kullanılarak bir araya getiriliyor.”
Kitin Şubat 2025’ten bu yana birden fazla tehdit aktörü arasında dolaştığı, ticari bir gözetim operasyonundan hükümet destekli bir saldırgana ve son olarak Aralık ayına kadar Çin’de faaliyet gösteren mali motivasyonlu bir tehdit aktörüne geçtiği söyleniyor.
Şu anda istismar kitinin nasıl el değiştirdiği bilinmiyor ancak bulgular, ikinci el sıfır gün istismarlarına yönelik aktif bir pazarın olduğunu ve diğer tehdit aktörlerinin bunları kendi amaçları için yeniden kullanmalarına olanak tanıdığını gösteriyor. İlgili bir raporda iVerify, istismar kitinin ABD hükümetine bağlı tehdit aktörleri tarafından geliştirilen önceki çerçevelerle benzerlikler taşıdığını söyledi.
iVerify, “Coruna, ticari gözetleme satıcılarından ulus devlet aktörlerinin ve nihayetinde kitlesel ölçekli suç operasyonlarının eline geçen gelişmiş casus yazılım düzeyindeki yeteneklerin gözlemlediğimiz en önemli örneklerinden biridir” dedi.
Mobil güvenlik sağlayıcısı, gelişmiş istismar çerçevesinin kullanımının, iOS cihazlarına karşı gözlemlenen ilk toplu istismara işaret ettiğini, bunun da casus yazılım saldırılarının yüksek düzeyde hedefli olmaktan geniş dağıtıma doğru kaydığını gösterdiğini söyledi.
Google, ilk olarak geçen yılın başlarında isimsiz bir gözetim şirketinin müşterisi tarafından kullanılan iOS istismar zincirinin bazı kısımlarını yakaladığını ve açıkların daha önce hiç görülmemiş bir JavaScript çerçevesine entegre edildiğini söyledi. Çerçeve, cihazın gerçek olup olmadığını belirlemek ve belirli iPhone modeli ve çalıştırdığı iOS yazılım sürümü de dahil olmak üzere ayrıntıları toplamak için cihazın parmak izini alacak şekilde tasarlandı.
Bu gelişme, kurumların tehdit görünürlüğü, güvenli geliştirme süreçleri ve olay müdahale hazırlığı açısından yeni risk başlıklarını yakından izlemesi gerektiğini bir kez daha ortaya koyuyor.
Kaynak: The Hacker News
