-
16/07/2025
-
1
-
22 bài viết
Coruna: Vũ khí khai thác chứa 23 lỗ hổng tấn công iPhone từ iOS 13 đến 17
Một bộ công cụ khai thác lỗ hổng iOS có độ tinh vi cao mang tên Coruna đang bị nhiều nhóm tin tặc sử dụng trong các chiến dịch tấn công nhằm đánh cắp dữ liệu và tài sản tiền điện tử. Thông tin được công bố trong nghiên cứu mới của Google Threat Intelligence Group (GTIG).
Theo Google, Coruna ban đầu xuất hiện trong các hoạt động giám sát thương mại và một số chiến dịch gián điệp mạng. Tuy nhiên, bộ công cụ này sau đó đã rơi vào tay các nhóm tội phạm mạng và bị tái sử dụng trong các chiến dịch lừa đảo nhằm đánh cắp tiền điện tử và dữ liệu người dùng. Diễn biến này cho thấy một xu hướng đáng chú ý: các công cụ khai thác từng phục vụ hoạt động gián điệp đang dần bị tội phạm mạng tận dụng để tấn công người dùng phổ thông.
Bộ công cụ khai thác gồm 5 chuỗi tấn công và 23 lỗ hổng iOS
Coruna được mô tả là một exploit kit hoàn chỉnh dành cho iOS bao gồm 5 chuỗi khai thác và tổng cộng 23 lỗ hổng bảo mật. Phần lớn các lỗ hổng nằm trong WebKit - thành phần lõi xử lý nội dung web của Safari và nhiều ứng dụng iOS khác.
Danh sách này bao gồm cả các lỗ hổng đã được gán mã CVE và một số lỗi chưa từng được công bố. Một số lỗ hổng đáng chú ý gồm CVE-2024-23222, CVE-2023-32409, CVE-2023-43000 và các lỗi từng được sử dụng trong chiến dịch gián điệp Operation Triangulation.
Khai thác các lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa và thoát khỏi cơ chế sandbox của iOS thông qua nội dung web được tạo. Theo đánh giá của Google, bộ công cụ có thể nhắm tới các thiết bị iPhone chạy từ iOS 13 đến iOS 17.2.1 với mức độ hiệu quả khác nhau.
Danh sách này bao gồm cả các lỗ hổng đã được gán mã CVE và một số lỗi chưa từng được công bố. Một số lỗ hổng đáng chú ý gồm CVE-2024-23222, CVE-2023-32409, CVE-2023-43000 và các lỗi từng được sử dụng trong chiến dịch gián điệp Operation Triangulation.
Khai thác các lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa và thoát khỏi cơ chế sandbox của iOS thông qua nội dung web được tạo. Theo đánh giá của Google, bộ công cụ có thể nhắm tới các thiết bị iPhone chạy từ iOS 13 đến iOS 17.2.1 với mức độ hiệu quả khác nhau.
Từ công cụ gián điệp đến tội phạm tài chính
Các nhà nghiên cứu lần đầu phát hiện Coruna vào tháng 2/2025 khi nó được sử dụng bởi khách hàng của một công ty cung cấp phần mềm giám sát. Đến tháng 7/2025, công cụ này tiếp tục xuất hiện trong các cuộc tấn công watering hole - hình thức cài mã khai thác lên website để tấn công người truy cập nhắm vào một số trang web tại Ukraine.
Đáng chú ý, đến tháng 12/2025, Coruna đã được sử dụng trong các chiến dịch lừa đảo quy mô lớn thông qua các website cờ bạc và tiền điện tử giả mạo bằng tiếng Trung.
Trong các chiến dịch này, bộ công cụ khai thác phát tán một payload độc hại có khả năng quét ảnh trên thiết bị để tìm mã QR ví tiền điện tử, dò các từ khóa như “backup phrase” hoặc “bank account”, đồng thời đánh cắp dữ liệu từ các ứng dụng ví phổ biến như MetaMask và BitKeep.
WhiteHat đánh giá Coruna đã chuyển từ công cụ phục vụ hoạt động gián điệp sang công cụ hỗ trợ tội phạm tài chính quy mô lớn.
Đáng chú ý, đến tháng 12/2025, Coruna đã được sử dụng trong các chiến dịch lừa đảo quy mô lớn thông qua các website cờ bạc và tiền điện tử giả mạo bằng tiếng Trung.
Trong các chiến dịch này, bộ công cụ khai thác phát tán một payload độc hại có khả năng quét ảnh trên thiết bị để tìm mã QR ví tiền điện tử, dò các từ khóa như “backup phrase” hoặc “bank account”, đồng thời đánh cắp dữ liệu từ các ứng dụng ví phổ biến như MetaMask và BitKeep.
WhiteHat đánh giá Coruna đã chuyển từ công cụ phục vụ hoạt động gián điệp sang công cụ hỗ trợ tội phạm tài chính quy mô lớn.
Apple đã vá các lỗ hổng liên quan
Google cho biết phần lớn các lỗ hổng bị Coruna khai thác đã được Apple vá trong các bản cập nhật iOS gần đây, do đó bộ công cụ này không còn hiệu quả với các phiên bản iOS mới nhất.
Người dùng nên cập nhật iPhone lên phiên bản iOS mới nhất, đồng thời có thể bật chế độ phong tỏa hoặc sử dụng chế độ duyệt web riêng tư khi truy cập các website không đáng tin cậy để giảm nguy cơ bị khai thác.
Người dùng nên cập nhật iPhone lên phiên bản iOS mới nhất, đồng thời có thể bật chế độ phong tỏa hoặc sử dụng chế độ duyệt web riêng tư khi truy cập các website không đáng tin cậy để giảm nguy cơ bị khai thác.
Theo Help Net Security