مثل رصدت من قبل سلكي، منشور تم نشره اليوم على مدونة جوجل السحابية يكشف عن تفاصيل مجموعة استغلال تسمى Coruna، والتي تستفيد من خمس سلاسل كاملة لاستغلال iOS و23 نقطة ضعف لاختراق أجهزة iPhone غير المصححة التي تعمل بنظام iOS 13 حتى iOS 17.2.1.

على مستوى عالٍ جدًا، تعمل مجموعة استغلال Coruna من خلال ربط العديد من نقاط الضعف لاختراق طبقات الأمان الخاصة بجهاز iPhone بشكل تدريجي.

بعد زيارة موقع ضار يستخدم جافا سكريبت مخفي للتحقق من طراز الجهاز وإصدار النظام وإعدادات الأمان الأخرى، يمكن أن يتخذ الهجوم طرقًا متعددة لتجاوز إجراءات حماية iOS الأساسية، والحصول على امتيازات عالية المستوى، وتثبيت برامج ضارة يمكنها جمع البيانات أو حتى تنزيل وحدات إضافية.

ومن المثير للاهتمام، أن جوجل تلاحظ أن هذا الاستغلال يتحقق مما إذا كان وضع التأمين ممكّنًا على الجهاز ويجهض العملية إذا كان الأمر كذلك، أو إذا كان المستخدم في وضع التصفح الخاص.

للتوضيح، تستهدف مجموعة الاستغلال أجهزة iPhone التي تعمل بإصدارات iOS الأقدم وهي غير فعالة ضد أحدث إصدارات النظام. يعد هذا أحد الأسباب العديدة التي تجعل من المهم الحفاظ على تحديث أجهزتك.

لإلقاء نظرة أعمق بكثير على كيفية عمل Coruna، بالإضافة إلى القائمة الكاملة للثغرات الأمنية (وCVEs الخاصة بها، عند توفرها) التي تستهدف كل إصدار iOS فردي بين iOS 13 وiOS 17.2.1، تحقق من مشاركة كاملة على مدونة Google Cloud.

وإلى جانب مشاركة جوجل، قامت شركة أمن الهاتف المحمول iVerify أيضًا نشرت تقريرا عن كورونا، ويقدم سياقًا إضافيًا حول أصوله المحتملة.

واستنادًا إلى الهندسة العكسية لإطار العمل، تقول iVerify إن كورونا يبدو أنه تم بناؤه على نفس الأسس مثل أدوات القرصنة الحكومية الأمريكية المعروفة.

من تقرير iVerify:

وهذا هو أول استغلال جماعي ملحوظ للهواتف المحمولة، بما في ذلك نظام iOS، من قبل مجموعة إجرامية تستخدم أدوات من المحتمل أن تكون صنعتها دولة قومية.

ما يشيرون إليه هو أنه على الرغم من جذور كورونا المشتركة الواضحة مع أدوات القرصنة الأخرى المرتبطة بالحكومة الأمريكية، إلا أنه يبدو أنه تسرب في مرحلة ما وتم نشره في حملات بواسطة جواسيس روس ومجرمين إلكترونيين مقرهم الصين.

أظهر تقرير تلو الآخر في العام الماضي أن برامج التجسس تجاوزت الأهداف المتوقعة في المجتمع المدني مثل الصحفيين والمعارضين بالإضافة إلى العملاء الإجراميين، لتضرب المديرين التنفيذيين في مجال التكنولوجيا والخدمات المالية، والحملات السياسية وغيرهم من الأشخاص ذوي النفوذ أو الذين يتمتعون بامتيازات الوصول. كلما زاد انتشار الاستخدام، زاد احتمال حدوث التسرب.

وفي الحملات التي تمت مراقبتها، تقول iVerify وGoogle إن أدوات الاستغلال تم تسليمها عبر هجمات “Watering Hole” على مواقع الويب المخترقة، بما في ذلك خدمات العملات المشفرة المزيفة المصممة لجذب الضحايا إلى الصفحات الضارة.

في هذه الحملات، تبدو الحمولة النهائية ذات دوافع مالية، مع وحدات مصممة لاستخراج بيانات محفظة العملة المشفرة وعبارات الاسترداد من الأجهزة المصابة.

لقراءة تقرير iVerify الكامل، اتبع هذا الرابط.