Google: Coruna iPhone Açık Kiti Suçluların Elinde

04.03.2026 Bot 1 Techolay
Google: Coruna iPhone Açık Kiti Suçluların Elinde

Google’ın Threat Intelligence ekibi ve iVerify, iPhone’ları yalnızca bir web sayfasını ziyaret ettirerek sessizce ele geçirebilen üst düzey bir istismar kiti “Coruna”yı ortaya çıkardı. Coruna, iOS 13’ten iOS 17.2.1’e kadar uzanan sürümlerde çalışan beş tam istismar zincirini ve toplam 23 açığı bir araya getiriyor. İlk bulgular, aracın önce Ukraynalıları hedefleyen bir casusluk kampanyasında, daha sonra ise Çince sahte kripto ve kumar siteleri üzerinden veri ve kripto para çalmak için kullanıldığını gösteriyor. Apple’ın güncel iOS sürümlerinde bu tekniklerin çalışmadığı belirtiliyor.

Coruna nasıl çalışıyor?

Saldırı, kurbanın cihazına göre kendini uyarlayan gizli bir JavaScript ile başlıyor. WebKit üzerinden uzaktan kod yürütmeyle (RCE) kapı açılıyor, ardından farklı iOS sürümleri için hazırlanmış PAC atlatmaları, sandbox kaçışları ve çekirdek (kernel) istismarları devreye giriyor. Kit, Lockdown Mode açıksa ya da kullanıcı gizli gezinmedeyse kendini durduruyor. Tespit edilen açıklar arasında CVE-2024-23222, CVE-2023-43000, CVE-2023-32409, CVE-2023-38606 ve daha fazlası var.

Google’ın zaman çizelgesine göre Coruna, Şubat 2025’te bir “ticari gözetim satıcısının müşterisi” tarafından kullanılırken görüldü; yaz aylarında ise Ukrayna sitelerine gizlice eklenen sayaç benzeri bir bileşen üzerinden, Rusya bağlantılı bir grubun su kaynağı (watering hole) saldırılarında yeniden ortaya çıktı. Yılın sonunda bu kez Çin merkezli, mali kazanç odaklı bir aktörün sahte borsa/kripto siteleriyle geniş kitleleri hedeflediği versiyon ele geçirildi. Google, ilgili alan adlarını Safe Browsing’e ekledi ve kullanıcıları güncel iOS sürümüne geçmeye çağırdı.

Kaynağa dair soru işaretleri de var. iVerify, tersine mühendislikte gördüğü modüller ve İngilizce yazılmış ayrıntılı yorum satırları nedeniyle kitin bir ABD devlet yüklenicisi tarafından geliştirilmiş olabileceğini öne sürüyor. Coruna’nın, 2023’te Kaspersky’nin duyurduğu Operation Triangulation kampanyasında sömürülen bazı açıklarla ve tekniklerle örtüşen parçalar içerdiği de not düşülüyor. Bu iddialar doğrulanmış değil; ancak araştırmacılar, devlet seviyesindeki kabiliyetlerin ikinci el pazarlar üzerinden sızıp suçluların eline geçtiğine dikkat çekiyor.

Etkinin boyutu da dikkat çekici. iVerify, Çin odaklı mali kampanyada komuta-kontrol sunucularına görülen bağlantılar üzerinden yaklaşık 42 bin iPhone’un etkilenmiş olabileceğini tahmin ediyor. Güvenlik topluluğu, bunu iOS tarafında suç amaçlı “kitlesel istismar”ın ilk örneklerinden biri olarak nitelendiriyor.

Kullanıcılar ne yapmalı?

  • iPhone’unuzu en güncel iOS sürümüne yükseltin. Coruna, iOS 17.3 ve sonrasında etkisiz; en güncel sürüme geçmek en güçlü savunma.
  • Güncelleme mümkün değilse Lockdown Mode’u açın; Coruna bu mod açıkken çalışmayı bırakıyor.
  • Ek katman olarak gizli gezinmeyi tercih edin; kit bu durumda da devre dışı kalıyor.
  • Kripto cüzdan seed/geri kurtarma ifadelerinizi hiçbir web formuna girmeyin; resmi uygulamalar dışında işlem yapmayın.

Özetle: Coruna, yıllara yayılan açıkları tek bir profesyonel çatı altında toplayıp eski iOS sürümlerini hedefleyen, devlet seviyesinde yazıldığı anlaşılan çok güçlü bir istismar kiti. Güncel iOS’a geçmek ve Lockdown Mode’u kullanmak, pratikte en etkili korunma yolları.

Kaynak: www.techspot.com

Kaynak: Techolay

Blog'a dön Kaynağı Gör