Coruna: Yeni iOS İstismar Seti ve Tehditler
Son dönemde, daha önce belgelenmemiş olan ve “Coruna” adı verilen 23 iOS istismarından oluşan bir set, çeşitli tehdit aktörleri tarafından hedeflenmiş casusluk kampanyaları ve mali motivasyonlu saldırılarda kullanılmaya başlandı. Bu durum, mobil cihazların güvenliği açısından büyük bir tehdit oluşturmakta ve kullanıcıları bilgilendirmeyi zorunlu kılmaktadır.
Saldırı Nasıl Çalışıyor?
Coruna kiti, iOS 13.0 ile 17.2.1 (Aralık 2023’te yayımlandı) arasındaki sürümleri hedef alan beş tam iOS istismar zinciri içermektedir. Google Threat Intelligence Group (GTIG) araştırmacıları, Coruna istismar setine dair ilk faaliyeti Şubat 2025’te gözlemlediler ve bunun, bir gözetim yazılımı müşteri faaliyeti ile ilişkilendirildiğini bildirdiler.
Alınan veriler arasında şunlar bulunmaktadır:
- CVE-2024-23222: iOS 17.2.1 üzerinde uzaktan kod yürütme yeteneği sağlayan bir WebKit açığı.
- JavaScript ile teslim edilen istismar çerçevesi, zarar verici içerikte kullanıldı.
- Lockdown Mode anti-casusluk koruma özelliği aktif olduğunda çerçevenin durması.
Etkilenen Sistemler
Coruna kiti, kullanıcı bilgilerini hedef alarak sahte finans ve kripto para ile ilgili web siteleri üzerinden dağıtılmaktadır. Özellikle şunları içermektedir:
- WebKit uzaktan kod yürütme
- Poiner Authentication Code (PAC) bypass’ları
- Sandbox kaçışları
- Kernel yetki yükseltmesi
- PPL (Sayfa Koruma Katmanı) bypass’ları
Bu istismarlar, Kaspersky tarafından Haziran 2023’te ortaya çıkarılan Operation Triangulation sırasında keşfedilen zafiyetlerin yeniden kullanımını kapsamaktadır.
Çözüm ve Korunma
GTIG analizi, Coruna istismar zincirinin son aşamalarında, “PlasmaLoader” adı verilen bir stager yükleyici olduğunu ortaya koymuştur. Ancak bu yazılım, casusluk operasyonlarıyla uyumlu yetenekler taşımamaktadır. Bununla birlikte, aşağıdaki önlemler alınmalıdır:
- iOS kullanıcıları, en son sürüme güncellemeleri tavsiye edilmektedir.
- Güncelleme yapılamıyorsa, Lockdown Mode’u etkinleştirmek önemlidir.
Sonuç olarak, Coruna istismar setinin hızlı bir şekilde gelişerek sıradan iPhone kullanıcılarını hedef alması, mobil tehditler konusundaki dikkatli ve bilgi sahibi olmanın önemini bir kez daha gözler önüne sermektedir. Kullanıcıların güvenlik önlemlerini alarak, bu tür tehditlere karşı kendilerini korumaları kritik bir durumdur.
