谷歌威胁情报小组(GTIG)最新报告揭露了一个名为“Coruna”的超强iOS漏洞利用工具包,它从商业监控厂商客户手中流出,先被疑似俄罗斯间谍组织使用,随后又出现在中国网络犯罪团伙的大规模钓鱼网站中,暴露了一个惊人的零日漏洞“黑市供应链”。
Coruna被认为是公开披露过的最全面iOS漏洞工具包之一,覆盖iOS 13.0至iOS 17.2.1整整四年共23个不同版本的漏洞利用代码。
据GTIG披露,该工具包最早于2025年2月现身,被一家商业监控厂商的客户使用。到2025年夏季,同一套框架出现在疑似俄罗斯间谍组织针对乌克兰用户的“watering hole”水坑攻击中。
到了2025年底,一伙中国背景的以盈利为目的的黑产团伙将其大规模部署在大量伪装的金融和加密货币钓鱼网站上。GTIG表示尚不清楚漏洞包如何在不同攻击者之间流转,但这清楚表明零日漏洞存在活跃的“二手”交易市场。
该工具包工程化程度极高:当用户访问受感染网站时,会精准识别iPhone机型和iOS版本,然后自动挑选最匹配的攻击链路。但只要用户开启了苹果的Lockdown Mode(锁定模式),整个工具包会直接放弃执行,连尝试都不尝试。
攻击代码采用强加密混淆,极难被安全研究人员捕获和分析,并使用开发者自创的定制封装格式。代码中还包含大量用英文撰写的详细技术注释,解释了全部工作原理。GTIG分析认为,其中多项攻击手法此前从未在公开场合出现过。
Coruna主要针对加密货币钱包和金融数据,能钩子植入18款主流加密应用直接窃取钱包凭证。它的载荷可解码磁盘上图片中的二维码,还内置文本分析模块,专门搜索BIP39助记词序列或“backup phrase”“bank account”等高危关键词,甚至会扫描苹果“备忘录”应用寻找典型种子短语。
目前仍在使用iOS 17.2.1及更早版本的用户仍可能遭受该工具包攻击(新版iOS已修复相关漏洞),建议尽快升级系统。否则,最重要的结论是:苹果的Lockdown Mode确实能有效抵御如此强大的漏洞武器库,对所有开启它的用户来说,这无疑是极好的消息。
