Упоминая Coruna, не можем не отметить новый отчет исследователей из Лаборатории Касперского, которым по итогу удалось отыскать взаимосвязи используемых в платформе эксплойтов и уязвимостей с Операцией Триангуляция. Напомним, 4 марта Google и iVerify выдали отчеты (1 и 2 соответственно) о технически сложном наборе эксплойтов для компрометации устройств Apple iPhone. По данным Google, инструментарий впервые был замечен в целевых атаках, организованных клиентом неназванного поставщика шпионского ПО. Позднее набор использовался другими злоумышленниками в атаках типа watering hole на Украине, а также в финансово мотивированных кампаниях в Китае. Кроме того, исследователи обнаружили отладочную версию набора, анализ которой выявил внутренние имена эксплойтов и авторское название фреймворка - Coruna. В результате исследования выяснилось, что фреймворк эксплуатирует ряд ранее исправленных уязвимостей, в том числе CVE-2023-32434 и CVE-2023-38606. Обе заслуживают особого внимания, так как изначально они использовались в качестве 0-day в Операции Триангуляция. Последняя представляет собой сложную APT-кампания в отношении мобильных устройств на базе iOS. ЛК смогла обнаружить ее в ходе мониторинга трафика в собственной корпоративной сети Wi-Fi, когда заметили подозрительную активность, исходящую от iOS-смартфонов. В процессе расследования выяснилось, что в этой кампании был задействован сложный шпионский имплант и множество 0-day эксплойтов. Расследование заняло более полугода, в течение которого исследователи ЛК публиковали свои находки, связанные с этой атакой. Эксперты GReAT ЛК также представили результаты своего расследования на 37-й конференции Chaos Communication Congress (37C3). Полное описание уязвимостей CVE-2023-32434 и CVE-2023-38606 уже давно стало достоянием общественности, благодаря чему сторонние исследователи смогли разработать собственные эксплойты, не имея доступа к исходному коду Операции Триангуляция. Несмотря на это, в ЛК решили провести тщательный анализ эксплойтов из состава фреймворка Coruna. Поскольку некоторые ссылки для распространения набора эксплойтов, упомянутые в отчете Google, оставались активными на момент его публикации, исследователям удалось собрать, расшифровать и изучить все компоненты Coruna. Как выяснилось, эксплойт для уязвимостей ядра CVE-2023-32434 и CVE-2023-38606 в составе Coruna фактически является обновленной версией того же самого эксплойта, который применялся в Операции Триангуляция. Более того, в составе Coruna исследователи заприметили еще четыре дополнительных эксплойта уровня ядра, отсутствовавшие в Операции Триангуляция - причем два из них были разработаны уже после обнаружения кампании. Все упомянутые эксплойты построены на базе единого фреймворка и содержат общий код. Сходства в коде эксплойтов уровня ядра также прослеживаются и в других компонентах Coruna. Такие артефакты позволяют сделать четкий вывод, что этот набор эксплойтов не был составлен из разрозненных частей, а спроектирован единым образом. В ЛК полагают, что Coruna - не что иное, как обновленная версия того же фреймворка, который, как минимум частично, применялся в Операции Триангуляция. Так что исследование задействованных в Coruna эксплойтов и уязвимостей в ЛК решили продолжить, а пока представили обобщенный обзор этого набора и цепочки атак. Все технические подробности, как обычно - в отчете. Продолжаем следить.