Ua
Главная Техно Google раскрыла атаки Coruna против iPhone украинцев

Google раскрыла атаки Coruna против iPhone украинцев

5 марта 2026 14:24
Поисковый сервис Google и смартфон в руках. Фото: Unsplash. Коллаж: Новини.LIVE
Иван Готевич
Редактор

Google Threat Intelligence Group (GTIG) опубликовала исследование Coruna — exploit kit для iPhone, рассчитанный на iOS 13.0-17.2.1 и включающий пять цепочек эксплуатации и 23 уязвимости. По данным Google, в 2025 году один и тот же набор инструментов фиксировали у разных акторов: от целевых операций до более широких кампаний.

Об этом говорится в исследовании GTIG.

Как Coruna распространяли и против кого применяли

В GTIG описывают Coruna как комплексный набор эксплуатации уязвимостей iOS, где наиболее продвинутые элементы используют непубличные техники и обход защит. Исследователи зафиксировали, что сначала Coruna применялся в "высокоточных" операциях клиентом компании с рынка слежки, впоследствии появился в watering hole-атаках против украинских пользователей, а позже — в более масштабных кампаниях финансово мотивированной группировки, которую GTIG связывает с Китаем.

Как использовался эксплойт Coruna со временем. Фото: Google Cloud Security

Отдельно GTIG описывает эпизод с компрометацией украинских сайтов: вредоносный JavaScript-фреймворк размещали на домене cdn.uacounter[.]com и подгружали как скрытый iFrame на взломанных ресурсах — от сайтов локальных сервисов до e-commerce. Доставка эксплойтов происходила выборочно для iPhone из определенной геолокации.

В конце 2025 года, по данным Google, тот же фреймворк появился на большом количестве фейковых китайских сайтов, в том числе связанных с "финансовой" тематикой, где эксплойт-цепочки отдавались iOS-устройствам уже без географических ограничений. Один из примеров — страницы, имитировавшие криптосервисы и пытавшиеся заманить пользователей перейти на сайт с iPhone.

Полезная нагрузка подбиралась под конкретную модель iPhone и версию iOS: фреймворк собирал данные для идентификации устройства, после чего загружал соответствующий WebKit-эксплойт для RCE и байпас механизмов.

Отдельный интерес для исследователей представляла "отладочная" сборка: в одном из случаев злоумышленники развернули debug-версию, где эксплойты остались не скрытыми, вместе с внутренними кодовыми названиями. Именно тогда команда пришла к выводу, что комплект предположительно имел внутреннее название Coruna.

Смартфоны давно стали хранилищем конфиденциальных данных. Поэтому они все чаще становятся мишенью для сложных киберопераций.

Специалисты по безопасности также напоминают о рисках использования публичных USB-портов для зарядки. Эксперты советуют избегать прямого подключения смартфонов к таким разъемам, поскольку через них потенциально могут устанавливаться вредоносные программы.