Perşembe akşamı acil durum yaması: Apple, iOS ve iPadOS'in eski 15 ve 16 sürümleriyle iPhone ve iPad için önemli güncellemeler yayınladı. Bunun nedeni, eski işletim sistemlerini çalıştıran Apple cihazlarını hedef alan, görünüşte son derece karmaşık ve güçlü bir istismar kiti olan Coruna'dır. Kötü amaçlı yazılım, Google'ın GTIG (Google Tehdit İstihbarat Grubu) güvenlik ekibi tarafından keşfedildi ve güvenlik firması iVerify da ayrıntılı bir analiz yayınladı. Görünüşe göre Apple, Coruna'nın kullandığı tüm açıkların kapatılmadığını fark etti; şirket buna bir güncellemeyle yanıt verdi. Apple, iOS ve iPadOS 16 için düzeltmeyi kendisi sağladı ve iOS ve iPadOS 15 için bazı hata düzeltmeleri de çekirdekte ciddi bir güvenlik açığı bulan Félix Poulin-Bélanger dahil olmak üzere dışarıdan güvenlik araştırmacılarından geliyor. Peki henüz saldırı başlatmak için kullanılmamış olan Coruna tam olarak ne yapabilir ve ne yapabilir?
Duyurudan sonra devamını okuyun
Önce casuslar, sonra suçlular
Öncelikle Google'a göre iOS ve iPadOS sürümleri artık en azından şu anda etkilenmiyor. GTIG'ye göre son kusur iOS 17.5'ten itibaren artık mevcut değil. Ancak Corunalı üreticilerin artık daha fazla üretim yapmış olması da mümkün. GTIG, istismar kitinde keşfedilen toplam 23 farklı istismarı listeliyor. iOS 13 ile başlar ve iOS 17.4'e (iPadOS dahil) kadar uzanır. Kötü amaçlı yazılım, tek tıklamayla saldırı şeklinde çalışır. Bu, enfeksiyonu başlatmak için yalnızca tek bir bağlantıya tıklamanız gerektiği anlamına gelir. Yararlanma zinciri Safari'de başlatılır ve bir WebKit güvenlik açığından ilk kez yararlanılır. Enfeksiyon daha sonra işletim sisteminin sürümüne bağlı olarak farklı şekillerde ilerler. Coruna son derece esnek ve gizli hareket ediyor, log dosyalarından mümkün olduğunca uzak durmaya çalışıyor ve kodunu maskeliyor.
Coruna'yı kimin geliştirdiği henüz belli değil ancak muhtemelen profesyoneller. GTIG, istismar kitinin Ukrayna'daki Rus casusluk çeteleri tarafından kullanıldığını gözlemleyebildiğini yazıyor. Kötü amaçlı yazılım daha sonra Çin'den faaliyet gösteren suçlular tarafından kripto cüzdanlarını veya şifrelerini ve kripto para borsaları ve diğer finansal kurumlar hakkındaki diğer bilgileri toplamak için kullanıldı.
Kötü amaçlı yazılım dağıtımı hâlâ etkindi
Sonuçta Coruna, virüs bulaşmış bir iPhone veya iPad ile “implantları” aracılığıyla her şeyi yapabilir çünkü kötü amaçlı yazılım tam kontrole sahiptir. Adı istismar kitinin kodunda da görünen Coruna, ilk olarak 2025 baharında keşfedildi. 2025 yazında, güvenliği ihlal edilmiş web siteleri aracılığıyla su kuyusu saldırıları gerçekleşti. 2025'in sonlarında Coruna, sahte kripto para birimi değişim web siteleri aracılığıyla dağıtım da dahil olmak üzere kripto para birimi saldırılarıyla bağlantılı olarak ortaya çıktı.
Güvenlik araştırmacısı ve YouTuber Billy Ellis, bizzat Coruna tarafından virüs bulaştırılan bir test cihazına sahip oldu ve ardından süreci bir MITM proxy aracılığıyla dinledi. Bu, istismar kitinin ne kadar tehlikeli olduğunu gösterdi. Daha da kötüsü: Görünüşe göre enfeksiyon yollarının tamamı henüz kapatılmamış; Birkaç gün öncesine kadar hâlâ istismar kitinin aktif olduğu web siteleri vardı. Ellis ayrıca test cihazına bunlardan birini kullanarak virüs bulaştırdı.
Duyurudan sonra devamını okuyun
(bsc)
Bir yanıt yazın