Kasperskynin Küresel Araştırma ve Analiz Ekibi (GReAT), Coruna exploit kitine yönelik yaptığı kod seviyesindeki analiz sonucunda, bu kitin Operation Triangulation siber casusluk kampanyasında kullanılan çerçevenin güncellenmiş ve doğrudan bir versiyonu olduğunu ortaya koydu. Şirket, Triangulation ve Coruna'daki kernel exploit'lerinin aynı geliştirici tarafından oluşturulduğuna yüksek derecede emin.
Yapılan inceleme, kitte yer alan beş çekirdek (kernel) exploit'inden birinin, Kaspersky'nin 2023 yılı içerisinde Operation Triangulation kapsamında tespit ettiği exploit'in güncellenmiş bir versiyonu olduğunu göstermektedir. Kalan dört exploit ise, bunların ikisi Operation Triangulation kamuoyuna açıklandıktan sonra geliştirilmiş, aynı exploit çerçevesi üzerine inşa edilmiştir. Kod benzerlikleri yalnızca kernel exploit'leriyle sınırlı kalmayıp, Coruna'nın diğer bileşenlerine de uzanmaktadır. Bu durum, kitin farklı kaynaklardan derlenmiş parçalardan oluşmadığını, aksine orijinal çerçevenin sürekli geliştirilmiş bir evrimi olduğunu ortaya koymaktadır.
Coruna exploit kitinde Apple'ın A17, M3, M3 Pro ve M3 Max işlemcilerine destek bulunduğu gibi, 2023 sonbahar ve kış döneminde yayımlanan iOS 17.2'ye kadar olan sürümlerine referanslar da yer almaktadır. Ayrıca, Kaspersky tarafından bildirilen zafiyetleri gidermek amacıyla Apple'ın yayımladığı iOS 16.5 beta 4 sürümüne yönelik özel bir kontrol mekanizması dikkat çekmektedir.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Boris Larin konuya ilişkin şunları söyledi: “Coruna ilk ortaya çıktığında, mevcut bulgular kodun Triangulation ile bağlantısını net şekilde kurmak için yeterli değildi – yalnızca ortak zafiyetler, ortak bir geliştirici olduğu anlamına gelmez. Ancak ikili dosyaların detaylı analiziyle tablo değişti. Coruna, herkese açık exploit'lerin bir araya getirilmiş hali değil; Operation Triangulation çerçevesinin sürekli geliştirilen bir devamıdır. M3 gibi yeni işlemciler ve güncel iOS sürümlerine yönelik kontrollerin bulunması, orijinal geliştiricilerin bu kod tabanını aktif şekilde genişlettiğini gösteriyor. Başlangıçta son derece hedefli bir siber casusluk aracı olan bu yapı, artık ayrım gözetmeksizin kullanılmaya başlanmış durumda.”
Kaspersky, tüm iPhone kullanıcılarına en güncel iOS sürümünü derhal yüklemeleri çağrısında bulunmaktadır. Coruna tarafından istismar edilen zafiyetler Apple tarafından giderilmiş olsa da, güncelleme yapılmamış cihazlar risk altında kalmaya devam etmektedir.
Operation Triangulation, ilk olarak Haziran 2023'te ortaya çıkarılan ve iOS cihazlarını hedef alan gelişmiş kalıcı tehdit (APT) kampanyasıdır. Kaspersky, söz konusu kampanyayı kendi kurumsal Wi-Fi ağı üzerindeki trafik analizleri sırasında keşfetmiştir; tehdit aktörünün, Kaspersky çalışanlarına ait çok sayıda iOS cihazını hedef aldığı belirlenmiştir. Araştırmacılar, kampanya kapsamında Apple ürünlerinin geniş bir yelpazesini etkileyen dört adet sıfırıncı gün (zero-day) zafiyetinin istismar edildiğini tespit etmiştir.
Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırılarına kurban gitmemek için şu önlemlerin alınmasını tavsiye etmektedir:
- Bilinen güvenlik açıklarını kapatmak için işletim sisteminizi, uygulamalarınızı ve güvenlik yazılımlarınızı düzenli olarak güncelleyin.
- Güvenlik olaylarına karşı kapsamlı görünürlük elde etmek ve operasyonel performansı artırmak için Kaspersky SIEM gibi çözümler kullanarak tüm altyapınızdaki olay izleme süreçlerini merkezileştirin.
- Siber güvenlik ekibinize, kurumu hedef alan tehditler konusunda derinlemesine görünürlük sağlayın. En güncel Kaspersky Threat Intelligence, olay yönetimi döngüsü boyunca zengin ve anlamlı bir bağlam sunarak risklerin hızlıca tespit edilmesine yardımcı olur.
- En güncel hedefli tehditlerle başa çıkabilmeleri için siber güvenlik ekibinizi pratik odaklı Kaspersky Cybersecurity Training ile yetkilendirin.
- Güçlü bir uç nokta koruması ve olay müdahale kabiliyeti oluşturmak için Kaspersky Next ürün ailesinden yararlanın. Bu çözümler; temel EDR işlevleri, gelişmiş kontroller, yama yönetimi ve bulut güvenliği ile tehdit görünürlüğü sunarak işletmelerin karmaşık saldırıları minimum kaynakla hızlıca bertaraf etmesine olanak tanır.
