CISA обязала федеральные ведомства США устранить три уязвимости iOS, которые использовались в атаках кибершпионажа и кражи криптовалюты с помощью эксплойт-кита Coruna. Эксплойт-кит нацелен на 23 уязвимости iOS. — bleepingcomputer.com
Агентство по кибербезопасности и защите инфраструктуры США (CISA) предписало федеральным ведомствам устранить уязвимости в iOS, три из которых использовались в атаках кибершпионажа и кражи криптовалюты с помощью эксплойт-кита Coruna.
Как ранее на этой неделе сообщили исследователи Google Threat Intelligence Group (GTIG), Coruna задействует несколько цепочек эксплойтов, нацеленных на 23 уязвимости iOS, многие из которых применялись в атаках нулевого дня.
Однако эксплойты не сработают на последних версиях iOS и будут заблокированы, если на устройстве цели включен режим приватного просмотра или функция защиты от шпионского ПО от Apple — Lockdown Mode.
Coruna предоставляет злоумышленникам возможности обхода Pointer Authentication Code (PAC), выхода из песочницы (sandbox escape) и обхода PPL (Page Protection Layer), позволяя им добиться удаленного выполнения кода в WebKit и повысить привилегии до уровня ядра (Kernel) на уязвимых устройствах.
В прошлом году GTIG зафиксировала использование этого эксплойт-кита несколькими группами угроз, включая заказчика из числа поставщиков систем слежения, предполагаемую российскую хакерскую группировку, спонсируемую государством (UNC6353), и китайского актора, мотивированного финансовыми целями (UNC6691).
Последний использовал его на поддельных сайтах азартных игр и криптовалют для доставки вредоносной полезной нагрузки, предназначенной для кражи криптокошельков зараженных жертв.
Фирма по мобильной безопасности iVerify также заявила, что Coruna является примером «сложных возможностей шпионского ПО», которые мигрировали «от коммерческих поставщиков систем слежения в руки субъектов на уровне государств и, в конечном итоге, в криминальные операции массового масштаба».
В четверг CISA добавила три из 23 уязвимостей Coruna в свой каталог известных эксплуатируемых уязвимостей, предписав агентствам федерального гражданского исполнительного органа (FCEB) обезопасить свои устройства к 26 марта, как того требует Обязательное оперативное распоряжение (BOD) 22-01.
«Применяйте меры по смягчению последствий в соответствии с инструкциями поставщика, следуйте применимым указаниям BOD 22-01 для облачных сервисов или прекратите использование продукта, если меры по смягчению недоступны», — предупредила CISA.
«Подобные уязвимости часто служат векторами атак для злонамеренных киберсубъектов и представляют значительные риски для федеральных систем».
Хотя BOD 22-01 распространяется только на федеральные агентства, CISA настоятельно призвала все организации, включая компании частного сектора, как можно скорее принять меры по устранению этих уязвимостей для защиты своих устройств от атак.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan