概要
Googleは、AppleのiPhoneで使用されているiOS 13.0から17.2.1までのバージョンを標的とする「Coruna」(またはCryptoWaters)と呼ばれる新しい強力なエクスプロイトキットを特定しました。
このエクスプロイトキットには、5つの完全なiOSエクスプロイトチェーンと合計23のエクスプロイトが含まれています。
エクスプロイトキットの詳細
Google Threat Intelligence Group (GTIG)によると、このエクスプロイトキットの技術的な価値は、iOSのエクスプロイトの包括的なコレクションにあるとされています。最も高度なエクスプロイトは、非公開のエクスプロイト技術と緩和策バイパスを使用しています。
GTIGは、このキットのフレームワークが非常に巧妙に設計されており、エクスプロイトの各部分が自然に接続され、一般的なユーティリティとエクスプロイトフレームワークを使用して組み合わされていると評価しています。
エクスプロイトキットの流通
このキットは、2025年2月から複数の脅威アクター間で流通しており、商業的な監視作業から政府後援の攻撃者、そして中国から操作される経済的に動機づけられた脅威アクターへと変化しています。
このキットがどのように手渡されたのかは不明ですが、2次市場でゼロデイエクスプロイトが再利用されることが示されています。
関連する報告
iVerifyは、このエクスプロイトキットが、米国の政府関連の脅威アクターによって開発された以前のフレームワークと類似していると報告しています。
「Corunaは、我々が観察した最も重要な例の一つで、高度なスパイウェア機能が商業的な監視ベンダーから国家レベルの攻撃者へ、そして最終的に大規模な犯罪組織へと拡散している」とiVerifyは述べています。
エクスプロイトチェーンの発見
Googleは、昨年の初めに、未公開の監視会社の顧客が使用したiOSエクスプロイトチェーンの一部をキャッチしました。
このフレームワークは、デバイスを特定し、iPhoneモデルやiOSソフトウェアバージョンを含む詳細情報を収集します。
フレームワークは、指紋データに基づいてWebKitのリモートコード実行(RCE)エクスプロイトをロードし、その後、ポインタ認証コード(PAC)バイパスを実行します。
エクスプロイトキットの変遷
2025年7月、同じJavaScriptフレームワークが「cdn.uacounter[.]com」ドメインで検出されました。これは、侵入されたウクライナのウェブサイトで隠されたiFrameとしてロードされました。
このフレームワークは、特定の地理的位置からiPhoneユーザーに対してのみ配信されました。
エクスプロイトキットの最新の検出
2025年12月、偽の中国ウェブサイトが、iOSエクスプロイトキットを配布しました。
この活動は、UNC6691と呼ばれる脅威クラスタに帰属しています。
対策
iPhoneユーザーは、デバイスを最新の状態に保つとともに、Lockdownモードを有効にしてセキュリティを強化することが推奨されています。
元記事: https://thehackernews.com/2026/03/coruna-ios-exploit-kit-uses-23-exploits.html