Các nhà nghiên cứu an ninh mạng vừa phát đi cảnh báo về hệ điều hành iOS sau khi phát hiện một bộ công cụ khai thác mới nhắm vào nhiều mẫu iPhone chạy các phiên bản iOS từ 13 đến 17.2.1.
Theo Google Threat Intelligence Group (GTIG), bộ công cụ này – được các nhà phát triển đặt tên là “Coruna” – bao gồm 5 chuỗi khai thác iOS hoàn chỉnh cùng tổng cộng 23 lỗ hổng bảo mật.
GTIG cho biết giá trị kỹ thuật cốt lõi của Coruna nằm ở “bộ sưu tập toàn diện các lỗ hổng iOS”. Trong đó, một số lỗ hổng tiên tiến sử dụng các kỹ thuật khai thác chưa từng được công khai, đồng thời áp dụng nhiều phương pháp để vượt qua các lớp bảo vệ bảo mật của hệ điều hành.
Các nhà nghiên cứu lần đầu thu thập được một phần chuỗi khai thác này vào tháng 2/2025, khi nó được sử dụng bởi một khách hàng của một công ty cung cấp phần mềm giám sát. Sau đó, công cụ này nhanh chóng bị các nhóm tấn công khai thác rộng rãi trong các chiến dịch nhằm vào các trang web thiết bị công nghiệp cũng như các công ty hoạt động trong lĩnh vực tiền điện tử.
Ảnh minh họa
Liên quan đến một trong những lỗ hổng được khai thác, GTIG cho biết họ đã thu hồi được một lỗi thực thi mã từ xa (RCE) trong WebKit được phát tán trên các thiết bị chạy iOS 17.2. Lỗ hổng này được xác định là CVE-2024-23222 – trước đó từng được Apple vá vào ngày 22/1/2024 trong bản cập nhật iOS 17.3, nhưng không ghi nhận công lao phát hiện của bất kỳ nhà nghiên cứu bên ngoài nào.
Đến mùa hè năm 2025, GTIG tiếp tục phát hiện cùng một khung JavaScript được lưu trữ trên tên miền cdn.uacounter[.]com. Mã này được nhúng dưới dạng iFrame ẩn trên nhiều trang web tại Ukraine đã bị xâm nhập, bao gồm các trang liên quan đến thiết bị công nghiệp, công cụ bán lẻ, dịch vụ địa phương và cả các nền tảng thương mại điện tử. Đáng chú ý, khung mã độc chỉ được phân phối tới một nhóm nhỏ người dùng iPhone được chọn lọc theo vị trí địa lý.
Theo GTIG, khung phần mềm này có cấu trúc giống hệt nhau trên các trang web bị xâm nhập và cung cấp cùng một bộ lỗ hổng bảo mật. “Chúng tôi đã thu thập được các lỗ hổng thực thi mã từ xa của WebKit, bao gồm CVE-2024-23222, CVE-2022-48503 và CVE-2023-43000, trước khi máy chủ bị vô hiệu hóa”, nhóm nghiên cứu cho biết.
Sau khi phát hiện vụ việc, GTIG đã phối hợp với CERT-UA để cảnh báo và khắc phục các trang web bị xâm nhập, nhằm ngăn chặn nguy cơ tiếp tục bị khai thác.
