Google과 iVerify, 정부 등급 iPhone 익스플로잇 키트가 해커에게 퍼지고 있음을 공개

Source: 9to5Mac

Under the hood

Wired가 포착한 바와 같이, 오늘 발표된 Google Cloud Blog 게시물은 Coruna라는 익스플로잇 키트의 세부 정보를 공개합니다. 이 키트는 5개의 완전한 iOS 익스플로잇 체인과 23개의 취약점을 활용해 iOS 13부터 iOS 17.2.1까지의 패치되지 않은 iPhone을 침해합니다.

높은 수준에서 보면, Coruna 익스플로잇 키트는 여러 취약점을 연쇄적으로 연결해 iPhone의 보안 레이어를 점진적으로 뚫어 나갑니다.

악성 사이트를 방문하면 숨겨진 JavaScript가 기기 모델, 시스템 버전 및 기타 보안 설정을 확인합니다. 이후 공격은 여러 경로를 통해 핵심 iOS 보호 기능을 우회하고, 고급 권한을 획득하며, 데이터를 수집하거나 추가 모듈을 다운로드할 수 있는 악성코드를 설치합니다.

흥미롭게도, Google은 이 익스플로잇이 기기에 Lockdown Mode가 활성화되어 있거나 사용자가 사파리의 사생활 보호 모드에 있을 경우 과정을 중단한다는 점을 언급합니다.

분명히 말하자면, 이 익스플로잇 키트는 구버전 iOS를 실행 중인 iPhone을 대상으로 하며 최신 시스템 버전에서는 효과가 없습니다. 이는 기기를 최신 상태로 유지하는 것이 중요한 이유 중 하나입니다.

Coruna가 어떻게 작동하는지, 그리고 iOS 13부터 iOS 17.2.1까지 각 iOS 릴리스별로 대상이 되는 취약점(가능한 경우 CVE 포함)의 전체 목록을 확인하려면, Google Cloud Blog의 전체 게시물을 참고하세요.

Behind the scenes

Google 게시물과 함께, 모바일 보안 기업 iVerify도 Coruna에 대해 보고서를 발표했으며, 이에 대한 추가적인 배경 정보를 제공했습니다.

프레임워크를 역공학한 결과, iVerify는 Coruna가 알려진 미국 정부 해킹 도구와 동일한 기반 위에 구축된 것으로 보인다고 밝혔습니다.

이는 국가 차원에서 제작된 도구일 가능성이 있는 범죄 조직이 iOS를 포함한 모바일 폰을 대규모로 악용한 최초 사례입니다.

그들이 말하는 바는, Coruna가 다른 미국 정부 연계 해킹 도구와 뿌리를 공유하고 있음에도 불구하고 어느 시점에 유출되어 러시아 스파이와 중국 기반 사이버 범죄자들에 의해 캠페인에 활용된 것으로 보인다는 점입니다.

지난해 보고서들은 스파이웨어가 언론인·반체제 인사와 같은 시민사회 대상에서 벗어나 기술·금융 서비스 임원, 정치 캠페인 관계자 등 영향력 있거나 특권 접근 권한을 가진 사람들까지 공격 범위가 확대되고 있음을 보여주었습니다. 사용이 널리 퍼질수록 유출 가능성도 높아집니다.

관찰된 캠페인에서 iVerify와 Google은 익스플로잇 키트가 손상된 웹사이트에 대한 “워터링 홀” 공격을 통해 전달되었으며, 가짜 암호화폐 서비스를 이용해 피해자를 악성 페이지로 유인했다고 전했습니다.

이러한 캠페인에서 최종 페이로드는 금전적 동기가 있는 것으로 보이며, 감염된 기기에서 암호화폐 지갑 데이터와 복구 구문을 추출하도록 설계된 모듈을 포함하고 있습니다.

iVerify의 전체 보고서를 읽으려면, 이 링크를 따라가세요.