서론

Google 위협 인텔리전스 그룹(GTIG)은 2019년 9월에 출시된 iOS 버전 13.0부터 2023년 12월에 출시된 17.2.1까지의 Apple iPhone 모델을 대상으로 하는 새롭고 강력한 익스플로잇 킷을 확인했습니다. 개발자들에 의해 "코루나(Coruna)"로 명명된 이 익스플로잇 킷은 5개의 완전한 iOS 익스플로잇 체인과 총 23개의 익스플로잇을 포함하고 있었습니다. 이 익스플로잇 킷의 핵심 기술적 가치는 포괄적인 iOS 익스플로잇 모음에 있으며, 가장 진보된 것들은 비공개 익스플로잇 기술과 완화 기술 우회 기법을 사용합니다.

코루나 익스플로잇 킷은 정교한 공격 능력이 어떻게 확산되는지를 보여주는 또 다른 사례입니다. 2025년에 걸쳐 GTIG는 처음에는 한 감시 업체의 고객이 수행한 고도로 표적화된 작전에서 그 사용을 추적했으며, 그 후 러시아 스파이 그룹으로 의심되는 UNC6353이 우크라이나 사용자를 대상으로 한 워터링 홀 공격에서 배포되는 것을 관찰했습니다. 그 후 중국에서 활동하는 금전적 동기의 위협 행위자인 UNC6691이 대규모 캠페인에서 사용할 때 전체 익스플로잇 킷을 입수했습니다. 이러한 확산이 어떻게 발생했는지는 불분명하지만, "중고" 제로데이 익스플로잇에 대한 활발한 시장이 있음을 시사합니다. 이러한 확인된 익스플로잇 외에도, 다수의 위협 행위자들이 이제 새로 발견된 취약점과 함께 재사용 및 수정할 수 있는 고급 익스플로잇 기술을 획득했습니다.

https://cloud.google.com/blog/ko/topics/threat-intelligence/coruna-powerful-ios-exploit-kit