Аналитики обнаружили набор эксплойтов для атак на iPhone — пострадали украинцы и криптоинвесторы

• Google Threat Intelligence Group обнаружила набор эксплойтов для iOS под названием Coruna.
• Он содержит пять полных цепочек атак и в общей сложности 23 эксплойта для iPhone.
• Набор использовали в атаках против украинских пользователей.
• Также Coruna затронул криптовалютную отрасль.

Специалисты Google Threat Intelligence Group (GTIG) обнаружили набор эксплойтов для iPhone под названием Coruna, который использовали для атак против украинцев, а также для криптомошенничества.

Он предназначен для устройств Apple с операционной системой iOS версий от 13.0 до 17.2.1. По данным GTIG, набор Coruna содержит пять основных способов атак на iOS и всего 23 различных метода взлома.

В Google подчеркнули, что техническая ценность Coruna заключается в масштабной коллекции инструментов эксплуатации. Некоторые из них позволяют обходить встроенные системы безопасности операционной системы.

Coruna использовали в атаках против украинских пользователей

Аналитики GTIG сообщили, что в течение 2025 года отслеживали применение Coruna в нескольких операциях. Сначала набор использовал клиент компании, разрабатывающей оборудование для наблюдения. Впоследствии исследователи зафиксировали его использование в атаках типа watering hole против украинских пользователей.

Отметим, watering hole — форма кибератаки, направленная на группы пользователей путем заражения сайтов, которые они часто посещают.

По данным GTIG, кампанию проводила группа UNC6353. В Google предполагают, что она связана с российскими шпионскими операциями.

Атаки, связанные с криптовалютами

В феврале 2025 года аналитики перехватили эксплойты для iOS, интегрированные в неизвестный JavaScript-фреймворк с уникальной обфускацией кода. Позже его нашли на многочисленных поддельных китайских сайтах, преимущественно финансовых, где часть маскировалась под криптобиржи, в частности под WEEX.

Всплывающее окно на поддельном сайте криптобиржи перенаправляло пользователей на сайты с использованием уязвимостей.

Напомним, ранее Google Cloud предупредила о северокорейской кампании кибератак на криптопроекты.