Spyware-grade Coruna iOS exploit kit now used in crypto theft attacks

Coruna」と名付けられた、これまで文書化されていなかった23のiOSエクスプロイトセットが、標的型スパイキャンペーンや金銭的動機に基づく攻撃において、複数の脅威アクターによって展開されています。

Corunaキットには、iOSバージョン13.0から17.2.1(2023年12月リリース)までのiOSエクスプロイトチェーンが5つ含まれており、最も洗練されたエクスプロイトチェーンでは、非公開のテクニックやミティゲーションバイパスが活用されています。

Google Threat Intelligence Group(GTIG)の研究者は、2025年2月、監視ベンダーの顧客に起因する活動において、Corunaエクスプロイトキットに関連する活動を初めて観測しました。

当時、研究者はiOS 17.2.1でリモートコード実行を可能にするWebKitの脆弱性CVE-2024-23222のエクスプロイトとともにJavaScript配信フレームワークを入手していました。Appleはゼロデイ攻撃で悪用された後、2024年1月22日にiOS 17.3でこの欠陥に対処していた。

同じ難読化されたフレームワークが夏に再び観測され、UNC6353として追跡されたロシアのサイバースパイと疑われる人物が、電子商取引、産業機器、小売ツール、ローカルサービスなどのウクライナの危険なウェブサイトを訪問するiPhoneユーザーをターゲットにした水飲み場攻撃にこのフレームワークを展開した。

2025年後半、このエクスプロイト・キットは、中国のさまざまな偽ギャンブルや暗号のウェブサイトに登場した。Googleはこの活動を、金銭的な動機に基づく中国の脅威アクターUNC6691によるものだとしています。

Coruna kit deployment timeline
Coruna キット展開のタイムライン
ソースはこちら:グーグル

Corunaエクスプロイトキットの機能

2025年後半にエクスプロイトキット一式を入手したGTIGのアナリストは、23のエクスプロイトセットを使用した5つの完全なエクスプロイトチェーンが含まれていることを発見しました:

  • WebKitのリモートコード実行
  • ポインタ認証コード(PAC)のバイパス
  • サンドボックスからの脱出
  • カーネル特権の昇格
  • PPL(ページ保護レイヤー)のバイパス

“エクスプロイトの特徴は、ネイティブの英語で書かれたdocstringやコメントを含む広範なドキュメントです。GTIGの研究者は、「最も高度なものは、非公開の悪用テクニックと緩和バイパスを使っている」と述べている。

この脆弱性の一部は、2023年6月にKaspersky社が自社のネットワーク上の複数のiPhoneが危険にさらされていることを発見した後に発見された「Operation Triangulation」で最初に特定された脆弱性を再利用している。

同社は後に、この悪用がアップル社のデバイスの文書化されていないハードウェア機能を悪用していることを発見した。

GTIGの研究者によると、CorunaはデバイスとOSのバージョンをフィンガープリントし、適切なエクスプロイトチェーンを選択して実行する。

スパイウェア対策機能「ロックダウンモード」やプライベートブラウジングがデバイス上で有効な場合、フレームワークは停止する。

Coruna exploit chain
Coruna exploit chain for iOS 15.8.5
ソースはこちら:グーグル

PlasmaGridの削除

GTIGの分析によると、Corunaエクスプロイトチェーンの後に配信される最終的なペイロードの1つは、研究者がPlasmaGridとして追跡しているPlasmaLoaderと呼ばれるステージャーローダーであり、iOSのルートデーモン「powerd」に注入される。

しかし、このマルウェアにはスパイウェアのような機能はない。このマルウェアは、MetaMask、Phantom、Exodus、BitKeep、Uniswapなどの暗号通貨ウォレットアプリを標的とする追加モジュールをコマンド・アンド・コントロール(C2)サーバーからダウンロードする。

この脅威者は、偽の金融および暗号関連のウェブサイトを使用して、ページをロードする際にiOSデバイスを使用するように訪問者を説得し、エクスプロイト・キットを配信しました。

キャプション

標的となったデータには、ウォレットリカバリーフレーズ(BIP39)、「バックアップフレーズ」や「銀行口座」などの機密テキスト文字列、Apple Memosに保存されたデータなどが含まれます。

盗まれたデータは、流出する前にAESで暗号化され、ハードコードされたC2アドレスに送信されます。このインプラントには、.xyzドメインを生成する “lazarus “という文字列をシードしたドメイン生成アルゴリズム(DGA)も含まれている。

GTIGは、Corunaエクスプロイト・キットが、監視ベンダーに関連したスパイウェア・キャンペーンの提供から、暗号通貨ユーザーを狙った金銭的動機に基づく悪意ある活動へとどのように移行したかを特定できませんでした。

GTIGはレポートの中で、「このような拡散がどのように発生したのかは不明ですが、”中古 “のゼロデイエクスプロイトの市場が活発であることを示唆しています」と指摘しています。

監視ベンダーは、Corunaのようなエクスプロイトキットを厳重に制限されたアクセス下に置き、高度な標的作戦を実行する政府顧客向けの製品に使用している。アップル社は常に、このようなセキュリティ上の問題は、価値の高い個人を狙った限定的な攻撃に活用されたものだと主張してきた。

モバイル・セキュリティ企業のiVerifyは、Corunaは「洗練されたスパイウェア級の機能」が「商業的な監視ベンダーから国家主体の手に渡り、最終的には大規模な犯罪活動へと移行した」、これまでで最も明確な例の一つだと述べている。

これは、モバイルの脅威の状況は急速に進化しており、”かつては国家元首を標的にするためのものであったツールが、今や一般のiPhoneユーザーに対して展開されている “というiVerifyの長年の信念を補強するものである。

Googleは、Corunaエクスプロイトキットの分析中に特定されたすべてのウェブサイトとドメインをセーフブラウジングに追加し、iOSユーザーに最新バージョンへのアップグレードを推奨している。アップデートが不可能な場合は、ロックダウンモードを有効にするようアドバイスしている。

Coronaエクスプロイト・キットに含まれる脆弱性とそのコードネームとは別に、GTIGのレポートには、暗号通貨関連のウェブサイトを介して配信されるインプラントやモジュール、攻撃インフラに関する侵害の指標も含まれている。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


tines

レッドレポート2026:ランサムウェアの暗号化が38%減少した理由

マルウェアはますます賢くなっています。レッドレポート2026では、新しい脅威がどのように数学を使ってサンドボックスを検出し、目に見えないところに隠れているかを明らかにしています。

110万件の悪意のあるサンプルの分析結果をダウンロードして、トップ10のテクニックを明らかにし、セキュリティ・スタックが盲点になっていないか確認してください。