이 iOS Exploit Kit은 23개의 공격을 가지고 있지만 – Lockdown Mode가 완전히 차단합니다

Source: MacRumors

Google의 위협 인텔리전스 그룹(GTIG)은 Coruna라는 강력한 iOS 익스플로잇 키트에 대한 새로운 보고서를 발표했습니다. 이 키트는 감시‑벤더 고객에서 러시아 스파이 조직으로, 그리고 다시 중국 사이버 범죄자에게 전파되면서 정교한 익스플로잇 “공급망”을 드러냈습니다.

Coruna는 공개적으로 문서화된 가장 포괄적인 iOS 익스플로잇 툴킷 중 하나로 설명됩니다. iOS 13.0부터 iOS 17.2.1까지 실행되는 iPhone을 대상으로 하며, 4년에 걸친 iOS 버전을 아우르는 23개의 익스플로잇을 포함하고 있습니다.

Background

• First detection: 2025년 2월, 상업용 감시 벤더의 고객에 의해 사용됨.
• Mid‑2025: 우크라이나 사용자를 표적으로 하는 의심되는 러시아 스파이 그룹에 의해 워터링‑홀 공격에 등장.
• Late 2025: 중국에 기반을 둔 금전적 동기 부여 행위자가 가짜 금융 및 암호화폐 웹사이트 대규모 네트워크에 배포.

GTIG는 키트가 행위자 간에 전이된 것이 “중고” 제로‑데이 익스플로잇에 대한 활발한 시장이 존재함을 시사한다고 언급했습니다.

Technical Details

• Dynamic targeting: 사용자가 감염된 사이트를 방문하면, 키트가 iPhone 모델과 iOS 버전을 식별한 뒤 적절한 익스플로잇을 선택합니다.
• Encryption: 공격 코드는 강력한 암호화로 크게 뒤섞여 있어 가로채기와 분석이 어렵습니다.
• Custom packaging: 키트는 개발자가 만든 독자적인 포맷을 사용합니다.
• Documentation: 작동 방식을 설명하는 상세한 영어 메모가 포함되어 있으며, 이전에 공개되지 않았던 공격 기법을 소개합니다.

Capabilities

• Crypto‑wallet focus: 18개의 서로 다른 암호화폐 앱에 훅을 걸어 지갑 자격 증명을 탈취합니다.
• QR‑code decoding: 기기에 저장된 이미지에서 QR 코드를 해독할 수 있습니다.
• Text analysis: BIP‑39 단어 시퀀스나 “backup phrase”, “bank account”와 같은 키워드를 스캔합니다.
• Apple Notes scanning: Apple Notes 내에서 일반적인 시드 구문을 찾습니다.

Lockdown Mode Effectiveness

사용자가 Apple의 Lockdown Mode를 활성화한 경우, 키트는 공격을 전혀 시도하지 않고 즉시 중단합니다. 이는 Lockdown Mode가 매우 정교한 익스플로잇 키트조차 효과적으로 차단할 수 있음을 보여줍니다.

Impact and Recommendations

• iOS 17.2.1 이하 버전을 실행 중인 기기는 여전히 잠재적으로 취약합니다.
• 이 키트는 최신 iOS 버전에서는 작동하지 않으므로, 최신 iOS 릴리스를 적용하는 것이 강력히 권장됩니다.
• Lockdown Mode를 활성화하면 이러한 공격에 대한 추가 보호 계층을 제공합니다. 활성화 방법은 Apple 가이드를 참고하십시오: Enable Lockdown Mode on iOS & Mac.