2026-03-05 20:29:15 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档详述了iOS漏洞利用工具包Coruna从国家级监控武器流落至网络犯罪组织的过程，包含23个漏洞和5条利用链，攻击范围覆盖iOS13至17.2.1。经历商业监控、地缘政治攻击及加密货币诈骗三个阶段，代码质量极高且疑似源自美国政府。建议用户立即更新iOS系统至最新版本或启用锁定模式以防御攻击。 综合评分： 89 文章分类： 漏洞分析,恶意软件,移动安全,威胁情报,漏洞预警

cover_image

Coruna:从国家级监控工具到网络犯罪武器的蜕变之路

原创

🅼🅰🆈 🅼🅰🆈

独眼情报

2026年3月4日 16:42 湖北

2026年3月3日,网络安全界迎来了一个令人震惊的发现。Google威胁情报团队与移动安全公司iVerify同时披露了一个名为「Coruna」的强大iOS漏洞利用工具包,该工具包包含5条完整的漏洞利用链和23个独立漏洞,能够攻击从iOS 13.0(2019年9月发布)到iOS 17.2.1(2023年12月发布)的iPhone设备。更令人担忧的是,这个原本可能属于美国政府的国家级攻击工具,如今已经流入俄罗斯间谍组织和网络犯罪团伙手中,开启了iOS系统首次已知的大规模攻击行动。

一、发现时间线:从定向监控到大规模犯罪

1.1 第一阶段:商业监控公司客户使用(2025年2月)

Google威胁情报团队首次捕获Coruna的部分组件是在2025年2月,当时一家监控公司的客户正在使用这套工具。研究人员发现了一个此前从未见过的JavaScript框架,该框架使用了简单但独特的混淆技术。

这个框架会启动指纹识别模块,收集各种数据点来判断设备是否真实,以及运行的具体iPhone型号和iOS版本。基于收集的数据,它会加载相应的WebKit远程代码执行漏洞,随后是指针认证码绕过模块。

当时,研究人员获取了针对iOS 17.2设备的WebKit远程代码执行漏洞,确认其为CVE-2024-23222。这个漏洞此前已被Apple在2024年1月22日作为零日漏洞修复,但Apple并未对外公布发现者信息,这暗示了其可能的政府背景。

1.2 第二阶段:针对乌克兰的水坑攻击(2025年夏季)

2025年夏季,Google团队在cdn.uacounter[.]com上发现了相同的JavaScript框架。该网站以隐藏iframe的形式被加载到众多遭入侵的乌克兰网站上,这些网站涵盖了工业设备、零售工具、本地服务和电子商务等各个领域。

该框架仅向来自特定地理位置的特定iPhone用户投放。在服务器被关闭之前,研究人员收集到了包括CVE-2024-23222、CVE-2022-48503和CVE-2023-43000在内的多个WebKit远程代码执行漏洞。Google随后与乌克兰计算机应急响应小组合作,清理了所有被入侵的网站。

Google将这次攻击归因于UNC6353,一个被怀疑的俄罗斯间谍组织。

1.3 第三阶段:大规模加密货币诈骗活动(2025年底)

2025年底,研究人员在大量与金融相关的虚假中文网站上发现了这个JavaScript框架,投放的是完全相同的iOS漏洞利用工具包。这些网站试图诱导用户使用iOS设备访问,例如伪造的WEEX加密货币交易所网站。

在通过iOS设备访问这些网站时,无论用户地理位置如何,都会注入一个隐藏的iframe来投放漏洞利用工具包。研究人员获取了所有混淆过的漏洞利用代码,包括最终载荷。

值得注意的是,攻击者部署了漏洞利用工具包的调试版本,其中所有漏洞都以明文形式呈现,包括它们的内部代号。正是在这个版本中,研究人员了解到该工具包的内部名称很可能是「Coruna」。

Google将这波攻击归因于UNC6691,一个经济利益驱动的威胁行为者。

iVerify的研究表明,这次攻击影响了至少42,000台设备,这对iOS平台来说是一个「巨大的数字」,尽管相比其他平台听起来可能较小。

二、技术架构:精密工程的杰作

2.1 框架特性

Coruna漏洞利用工具包展现出极高的工程化水平,所有漏洞组件都自然连接,并使用通用的实用程序和利用框架组合在一起。该工具包执行以下独特操作:

安全检测:如果设备处于锁定模式或用户处于隐私浏览模式,工具包会立即退出
唯一标识:使用独特的硬编码cookie沿途生成资源URL
哈希引用:资源通过哈希引用,需要使用唯一cookie通过sha256(COOKIE + ID)[:40]推导出URL
分层加密:远程代码执行和指针认证码绕过未加密传输,但二进制载荷经过精心加密

2.2 二进制载荷特征

工具包包含一个二进制加载器,用于在WebKit内实现远程代码执行后加载适当的漏洞利用链。二进制载荷具有以下特点:

包含独特的元数据,指示其真实用途、支持的芯片组和iOS版本
从以.min.js结尾的URL提供服务
使用ChaCha20加密,每个blob使用唯一密钥
打包为自定义文件格式,以0xf00dbeef作为文件头
使用Lempel-Ziv-Welch(LZW)算法压缩

2.3 漏洞清单

Coruna工具包包含23个漏洞,覆盖iOS 13到iOS 17.2.1版本:

WebKit远程代码执行漏洞(5个):

buffout (CVE-2021-30952): iOS 13 → 15.1.1
jacurutu (CVE-2022-48503): iOS 15.2 → 15.5
bluebird: iOS 15.6 → 16.1.2
terrorbird (CVE-2023-43000): iOS 16.2 → 16.5.1
cassowary (CVE-2024-23222): iOS 16.6 → 17.2.1

指针认证码绕过(5个):

breezy: iOS 13 → 14.x
breezy15: iOS 15 → 16.2
seedbell: iOS 16.3 → 16.5.1
seedbell_16_6: iOS 16.6 → 16.7.12
seedbell_17: iOS 17 → 17.2.1

WebKit沙箱逃逸(2个):

IronLoader (CVE-2023-32409): iOS 16.0 → 16.3.1/16.4.0
NeuronLoader: iOS 16.4.0 → 16.6.1

权限提升漏洞(6个):

Neutron (CVE-2020-27932): iOS 13.X
Dynamo (CVE-2020-27950): iOS 13.X (信息泄露)
Pendulum: iOS 14 → 14.4.x
Photon (CVE-2023-32434): iOS 14.5 → 15.7.6
Parallax (CVE-2023-41974): iOS 16.4 → 16.7
Gruber: iOS 15.2 → 17.2.1

页面保护层绕过(5个):

Quark: iOS 13.X
Gallium (CVE-2023-38606): iOS 14.x
Carbone: iOS 15.0 → 16.7.6
Sparrow (CVE-2024-23225): iOS 17.0 → 17.3
Rocket (CVE-2024-23296): iOS 17.1 → 17.4

特别值得注意的是,Photon和Gallium利用的漏洞也被用作「三角行动」(Operation Triangulation)的零日漏洞,该行动由卡巴斯基在2023年发现。

2.4 可重用模块

Coruna工具包嵌入了可重用模块,以简化对上述漏洞的利用。例如,有一个名为rwx_allocator的模块,使用多种技术绕过各种缓解措施,防止在用户空间分配RWX内存页面。内核漏洞还嵌入了各种内部模块,允许它们绕过基于内核的缓解措施,如内核模式指针认证码。

三、恶意载荷:从间谍软件到金融盗窃

3.1 载荷架构

在利用链的最后,一个名为PlasmaLoader(被Google威胁情报团队追踪为PLASMAGRID)的分阶段二进制文件使用com.apple.assistd作为标识符,促进与漏洞建立的内核组件的通信。加载器会将自己注入到powerd中,这是一个在iOS上以root权限运行的守护进程。

3.2 功能特性

注入的载荷并没有展现出人们通常期望从监控供应商那里看到的功能,而是专注于窃取金融信息:

核心功能:

从磁盘上的图像解码QR码
分析文本块以查找BIP39单词序列或特定关键字,如「backup phrase」或「bank account」
如果在Apple备忘录中找到此类文本,将发送回C2服务器

模块化能力: 载荷能够远程收集和运行其他模块,配置从http:///details/show.html获取。配置和附加模块都压缩为7-ZIP存档,使用唯一的硬编码密码保护。

3.3 目标应用程序

研究人员发现了针对18个加密货币钱包应用的专用模块,所有这些模块都设计统一,通过放置函数钩子来窃取加密货币钱包或敏感信息:

BitKeep (com.bitkeep.os)
Bitpie (com.bitpie.wallet)
Coin98 (coin98.crypto.finance.insights)
Coinbase Wallet (org.toshi.distribution)
Exodus (exodus-movement.exodus)
imToken (im.token.app)
Krystal (com.kyrd.krystal.ios)
MetaMask (io.metamask.MetaMask)
MyTonWallet (org.mytonwallet.app)
Phantom (app.phantom)
Ronin Wallet (com.skymavis.Genesis)
Solflare (com.solflare.mobile)
TokenPocket (com.global.wallet.ios)
Tonhub (com.tonhub.app)
Tonkeeper (com.jbig.tonkeeper)
TronLink (com.tronlink.hdwallet)
Trust Wallet (com.sixdays.trust)
Uniswap (com.uniswap.mobile)

此外,还有针对WhatsApp和SpringBoard的模块。

3.4 网络通信

网络通信通过HTTPS进行,收集的数据使用AES加密,以静态字符串的SHA256哈希作为密钥进行POST。一些HTTP请求包含额外的HTTP头,如sdkv或x-ts,后跟时间戳。

恶意软件包含硬编码的C2服务器列表,但在服务器无响应的情况下有回退机制。恶意软件嵌入了自定义域生成算法(DGA),使用字符串「lazarus」作为种子生成可预测域列表。这些域将有15个字符,使用.xyz作为顶级域。攻击者使用Google的公共DNS解析器验证域是否活跃。

四、美国政府起源的证据

4.1 技术指标

iVerify联合创始人Rocky Cole是前美国国家安全局员工,他认为有多个证据指向美国起源:

代码质量: 「代码库非常出色,」Cole说,「它写得很优雅。流畅且紧密结合。代码中的注释,作为在美国国防工业基地工作多年的人,真的让人想起你可能从美国程序员那里看到的内部笑话和内部评论。他们肯定是以英语为母语的。」

工程水平: Google的分析表明,漏洞具有广泛的文档,包括用英语编写的文档字符串和注释。最先进的漏洞使用非公开的利用技术和缓解绕过。

资金规模: 「它高度复杂,花费数百万美元开发,并且带有其他已公开归因于美国政府的模块的特征,」Cole在声明中说。

4.2 与「三角行动」的联系

Google和iVerify都指出,Coruna的代码库与「三角行动」(Operation Triangulation)的组件重叠。2023年,俄罗斯网络安全公司卡巴斯基发现了这次针对该公司的iOS攻击行动,俄罗斯政府将其归咎于美国政府,尽管华盛顿从未对此指控发表评论。

具体来说,Photon和Gallium这两个漏洞利用的就是「三角行动」中使用的零日漏洞CVE-2023-38606和CVE-2023-32434。

4.3 「永恒之蓝」时刻

iVerify的Rocky Cole将这一时刻比作「永恒之蓝」(EternalBlue)漏洞的泄露,该Windows漏洞归因于美国国家安全局,后被窃取并在WannaCry和NotPetya爆发中武器化。

「这是iOS的EternalBlue时刻,」Cole说,「曾经用于国家安全目的的工具现在被用来从普通人那里窃取加密货币。」

上周,美国法院刚刚判处一名前L3 Harris高管因向俄罗斯经纪人出售零日漏洞而入狱,这表明这种「二手」零日市场确实存在并且活跃。

五、传播机制:从精准打击到无差别攻击

5.1 初始定向攻击

在最早的监控供应商客户使用阶段,工具包表现出典型的定向攻击特征:

精确的目标选择
复杂的指纹识别
有限的部署范围

5.2 地缘政治利用

在乌克兰攻击阶段,俄罗斯间谍组织展现了以下特点:

水坑攻击策略
地理位置过滤
批量网站入侵

5.3 大规模犯罪活动

在最后的网络犯罪阶段,攻击变得完全无差别:

任何访问虚假网站的iOS设备都会被感染
没有特定目标或一次性链接
设备可以被多次重新感染
主要目标是窃取加密货币

这种演变清楚地展示了国家级工具如何逐步「民主化」,最终落入纯粹的经济犯罪分子手中。

六、防护

6.1 官方防护措施

更新iOS系统: Coruna漏洞利用工具包对最新版本的iOS无效。强烈建议iPhone用户将设备更新到最新的iOS版本。截至2026年2月12日,能够运行iOS 26的iPhone中有74%已更新到该操作系统。

启用锁定模式: 在无法更新的情况下,建议启用锁定模式以增强安全性。Coruna会检测锁定模式的存在,如果检测到则不会尝试攻击。

不过需要注意的是,锁定模式是一种高度限制性的模式,旨在为面临危险的人员(如政府官员和记者)提供保护。对于普通用户,iOS 26补丁应该足够,因此确保设备保持最新状态即可。

结论

Coruna iOS漏洞利用工具包的发现标志着移动安全领域的一个重要转折点。这不仅是iOS平台首次已知的大规模攻击,更重要的是,它展示了国家级网络武器如何不可避免地扩散到犯罪分子手中的完整路径。

从2025年2月的精准监控,到夏季针对乌克兰的地缘政治攻击,再到年底针对加密货币用户的无差别犯罪活动,Coruna的传播轨迹清晰地描绘出了一幅令人不安的图景:在网络空间,没有真正的「好人工具」——任何强大的攻击能力最终都可能被滥用。

这一事件再次证明,唯一可靠的安全策略是保持系统最新、拒绝在加密中留下后门,并在技术层面不断提升防御能力。对于普通iPhone用户而言,最简单也最有效的防护措施仍然是:立即更新到最新的iOS版本。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 🅼🅰🆈 🅼🅰🆈《Coruna:从国家级监控工具到网络犯罪武器的蜕变之路》