Google의 GTIG(위협 정보 그룹)는 "Coruna"라는 강력한 iOS 익스플로잇 킷에 대한 새로운 보고서를 발표했습니다. 이 킷은 감시 공급업체의 고객에서 러시아 스파이 그룹, 중국 사이버 범죄자로 이동하여 그 과정에서 정교한 익스플로잇 '공급망'을 드러냈습니다.
공개적으로 문서화된 가장 포괄적인 iOS 익스플로잇 툴킷 중 하나로 설명되는 Coruna는 iOS 13.0부터 iOS 17.2.1까지 실행되는 iPhone을 대상으로 하며, 4년 간의 iOS 버전에 걸쳐 23개의 익스플로잇이 포함되어 있습니다.
GTIG에 따르면 이 제품은 2025년 2월 상업용 감시 공급업체의 고객이 사용하면서 처음 발견되었습니다. 2025년 여름에는 우크라이나 사용자를 표적으로 삼는 러시아 스파이 그룹으로 의심되는 워터링 홀 공격(공격자가 의도한 목표가 방문할 가능성이 있는 웹 사이트를 손상시키는 공격)에도 동일한 프레임워크가 나타났습니다.
그러다가 2025년 말에 중국에 기반을 둔 재정적 동기를 지닌 한 행위자가 가짜 금융 및 암호화폐 웹사이트로 구성된 대규모 네트워크에 이를 배포했습니다. GTIG는 익스플로잇 킷이 배우에서 배우로 어떻게 전달되었는지는 확실하지 않지만 "중고" 제로데이 익스플로잇에 대한 활발한 시장을 암시한다고 말했습니다.
키트의 내용물에 관해서는 매우 잘 설계된 것으로 설명됩니다. 누군가 감염된 웹사이트를 방문하면 그들이 사용하고 있는 iPhone의 종류와 실행 중인 소프트웨어 버전을 파악한 다음 특정 장치에 적합한 공격을 선택합니다. 사용자가 Apple의 잠금 모드를 켜면 키트가 작동하지 않고 시도조차 하지 않습니다.
공격 코드는 강력한 암호화로 뒤섞여 있어 보안 연구원들이 가로채서 분석하기 어렵고, 개발자들이 직접 개발한 것으로 보이는 커스텀 포맷으로 패키징되어 있다. GTIG의 분석에 따르면 이 코드에는 모든 작동 방식을 설명하는 영어로 작성된 자세한 메모가 포함되어 있으며 이전에 공개적으로 볼 수 없었던 공격 기술을 사용합니다.
이 키트는 암호화폐 지갑과 금융 데이터를 대상으로 하며 18개의 다양한 암호화폐 앱에 연결하여 지갑 자격 증명을 유출할 수 있습니다. 페이로드는 디스크의 이미지에서 QR 코드를 디코딩할 수 있으며 텍스트 덩어리를 분석하여 BIP39 단어 시퀀스나 "백업 문구" 또는 "은행 계좌"와 같은 매우 구체적인 키워드를 찾는 모듈도 있습니다. Apple Notes에서 일반적인 시드 문구를 검색하기도 합니다.
아직 iOS 17.2.1 이하를 사용하는 사용자는 최신 iOS 버전에서는 작동하지 않는 익스플로잇 킷에 잠재적으로 취약하므로 가능하면 업데이트하시기 바랍니다. 그렇지 않으면, Apple의 잠금 모드가 이러한 강력한 익스플로잇 킷을 방지하기 위해 제 역할을 하고 있다는 점과 이를 활성화하는 사람들에게만 좋은 소식이 될 수 있다는 점을 시사합니다.