Coruna iOS exploit framework linked to Triangulation attacks
Mis à jour :
L’évolution du framework d’exploitation Coruna
Le framework Coruna constitue une évolution sophistiquée de la campagne d’espionnage « Operation Triangulation ». Initialement conçu pour des attaques ciblées, cet outil a été modernisé pour compromettre les versions récentes d’iOS (jusqu’à 17.2) et les architectures matérielles les plus récentes d’Apple, incluant les puces A17 et M3. Initialement réservé à l’espionnage, il est désormais utilisé de manière indiscriminée, notamment pour le vol de cryptomonnaies.
Points clés :
- Méthode d’attaque : Le processus débute par une phase de reconnaissance via Safari, suivie de l’exécution de chaînes d’exploitation RCE (Remote Code Execution) et PAC (Pointer Authentication Codes) adaptées au modèle de l’appareil.
- Persistance : Le framework est activement maintenu et développé, intégrant des mécanismes de déchiffrement (ChaCha20) et de décompression (LZMA) pour déployer ses charges utiles de manière furtive.
- Cibles : Le kit prend en charge les architectures ARM64/ARM64E et couvre un large éventail de versions d’iOS, des anciennes moutures jusqu’à iOS 17.2.
Vulnérabilités identifiées : Le framework utilise 23 vulnérabilités, dont les failles critiques suivantes, déjà observées lors de l’opération Triangulation :
- CVE-2023-32434 : Vulnérabilité au niveau du noyau (kernel).
- CVE-2023-38606 : Vulnérabilité au niveau du noyau (kernel).
Recommandations :
- Mises à jour systèmes : La protection la plus efficace consiste à appliquer systématiquement les dernières mises à jour de sécurité publiées par Apple. La firme a déjà publié des correctifs corrigeant les failles exploitées par Coruna et d’autres kits similaires (tels que DarkSword).
- Vigilance accrue : Étant donné l’utilisation de sites frauduleux (ex: fausses plateformes d’échange crypto) pour initier l’attaque, les utilisateurs doivent faire preuve d’une prudence extrême face aux liens suspects reçus via des messages ou des publicités.