Google 的威脅情報小組(GTIG)發佈一份新報告,揭露了一個名為「Coruna」的強大 iOS 漏洞攻擊工具包。該工具包的蹤跡顯示其在監控軟體供應商客戶、俄羅斯間諜組織和中國網路犯罪分子之間形成了一條複雜的漏洞利用「供應鏈」。Coruna 被描述為公開文檔中最全面的 iOS 漏洞攻擊工具包之一,它針對運行 iOS 13.0 至 iOS 17.2.1 的 iPhone 型號,涵蓋四年 iOS 版本中的 23 種漏洞。
重點文章
漏洞工具包的全球擴散途徑
GTIG 指出,「Coruna」最早於 2026 年 2 月被發現,當時由某商業監控供應商的客戶使用。到了 2026 年夏季,同一個框架出現在疑似俄羅斯間諜組織針對烏克蘭用戶的「水坑式攻擊」(watering hole attacks)中。隨後,在 2026 年底,一個位於中國、以財務為動機的攻擊者將其部署到大量虛假金融和加密貨幣網站。GTIG 表示,目前尚不清楚該漏洞工具包如何在不同攻擊者之間流傳,但這暗示著一個活躍的「二手」零日漏洞市場。
Coruna 的精良攻擊手法與鎖定模式的防禦力
這個工具包被形容為工程設計極其精良。當用戶瀏覽受感染網站時,它會識別其 iPhone 型號及軟體版本,然後選擇適合該特定裝置的攻擊方式。關鍵在於,如果用戶開啟了 Apple 的「鎖定模式」(Lockdown Mode),該工具包就會放棄攻擊。攻擊代碼使用強加密和開發者自創的定制格式進行混淆,使安全研究人員難以攔截和分析。根據 GTIG 的分析,該代碼還包含詳細的英文說明,並採用了此前未公開的攻擊技術。
Coruna 針對加密貨幣數據的攻擊及應對
該工具包專門針對加密貨幣錢包和金融數據,能夠植入 18 種不同的加密貨幣應用程式,以竊取錢包憑證。其惡意負載可以從磁碟圖像中解碼 QR 碼,並且包含一個模組,用於分析文本區塊以搜尋 BIP39 詞組序列或如「備份短語」、「銀行帳戶」等特定關鍵字。它甚至會掃描 Apple 備忘錄(Notes)以尋找常見的助記詞。任何仍使用 iOS 17.2.1 或更早版本的用戶都可能容易受到該漏洞工具包的攻擊,因為它對較新的 iOS 版本無效,因此建議用戶盡快更新。總體而言,Apple 的「鎖定模式」似乎能有效抵禦這種強大的漏洞攻擊工具包,這對啟用該模式的用戶來說無疑是個好消息。
