文章总结： 本文分析iOS漏洞利用工具包Coruna，确认其为三角行动框架的更新版。该工具包统一构建了五个内核漏洞利用程序，包含已知零日漏洞的更新版，通过Safari触发并利用加密容器分发适配不同架构的组件。此框架已流入黑产，建议用户立即安装系统更新以规避风险。 综合评分： 97 文章分类： 漏洞分析,移动安全,恶意软件,威胁情报,漏洞预警

Coruna：三角行动（Operation Triangulation）中所使用的框架

原创

卡巴斯基 卡巴斯基

卡巴斯基威胁情报

2026年3月27日 10:06 北京

引 言

2026 年 3 月 4 日，谷歌与 iVerify 发布报告，披露了一套针对苹果 iPhone 设备、高度精密化的漏洞利用工具包。据谷歌披露，该工具包最初在某未具名监控软件供应商客户发起的定向攻击中被发现，随后被其他攻击者用于乌克兰境内的水坑攻击，以牟利为目的的网络攻击。此外，研究人员还获取到该工具包的调试版本，从中披露了漏洞利用程序的内部命名，以及开发者所使用的框架名称 ——Coruna。

对该工具包的分析显示，其利用了多个已修复的历史漏洞，同时包含针对 CVE-2023-32434 与 CVE-2023-38606 的漏洞利用代码。这两个漏洞尤为值得关注，因为它们最初是在 ** 三角行动（Operation Triangulation）** 中被发现的零日漏洞。

三角行动是一场针对 iOS 设备的复杂移动高级持续性威胁（APT）攻击活动。我们在监控企业内部 Wi‑Fi 网络流量时发现该攻击，注意到多部 iOS 设备出现异常行为。经调查确认，此次攻击活动使用了精密的间谍软件植入程序与多个零日漏洞。整个调查历时超六个月，期间我们陆续公开相关攻击发现，卡巴斯基 GReAT 专家也在第 37 届混沌通信大会（37C3）上公布了相关研究成果。

尽管 CVE-2023-32434 与 CVE-2023-38606 的完整细节早已公开，且其他研究人员在未接触三角行动相关代码的情况下已独立开发出漏洞利用程序，我们仍决定对 Coruna 中使用的漏洞利用代码展开深入分析。谷歌报告发布时，部分该漏洞工具包的分发链接仍可访问，使我们得以完整收集、解密并分析 Coruna 的所有组件。

在分析过程中我们确认：Coruna 中针对 CVE-2023-32434 与 CVE-2023-38606 的内核漏洞利用程序，实际上是三角行动中所使用漏洞利用程序的更新版本。下图以概览形式展示两条攻击链，其中相关漏洞利用程序已用红色方框标出。

三角行动（Operation Triangulation）攻击链（简化版）

Coruna 攻击链（简化版）

此外，我们还发现，Coruna 包含另外四个此前未在三角行动中出现过的内核漏洞利用程序，其中两个是在三角行动被发现之后才开发出来的。所有这些漏洞利用程序均基于同一套内核利用框架构建，并共享通用代码。在内核漏洞利用代码中发现的相似性，同样存在于 Coruna 的其他组件里。这些发现让我们得出结论：该漏洞利用工具包并非拼凑而成，而是采用统一思路整体设计的。我们推测，它至少在一定程度上，是三角行动中所使用的同一套漏洞利用框架的更新版本。

技术细节

在我们持续对 Coruna 所使用的全部漏洞利用程序与漏洞进行深入调查的同时，本文将对该漏洞利用工具包及其攻击链进行概要性介绍。

Safari 相关部分

Safari浏览器漏洞利用过程始于一个初始加载程序（stager），该程序会识别浏览器特征，并根据浏览器版本选择并执行相应的远程代码执行（RCE）漏洞利用和指针身份验证代码（PAC）漏洞利用。它还包含一个指向加密文件的网址，该文件包含所有可用漏洞利用程序包及其他组件的相关信息。初始加载程序还包含一个用于解密该文件的256位密钥。网址和解密密钥会被传递给嵌入在PAC漏洞利用程序中的有效载荷。

攻击载荷

攻击载荷负责启动内核漏洞利用。初始化后，攻击载荷首先下载一个包含其他可用组件信息的文件。为对其进行解包提取，该载荷会针对多种文件格式执行多步处理。

首先，使用 ChaCha20 流密码对下载的文件进行解密。解密后得到一个特征魔数为 0xBEDF00D 的容器文件，其中存储了经 LZMA 压缩的数据。

利用工具包用于存储压缩数据所采用的文件格式

解压后的数据呈现出另一个带有幻数（magic number）0xF00DBEEF 的容器。该漏洞利用工具包（exploit kit）使用这种文件格式，通过文件ID来存储和检索文件。

漏洞利用工具包所使用的存储文件的文件格式

我们将在下文对所有可能的文件标识（File ID）值进行说明。在当前阶段，当有效载荷收集所有可用文件包的信息时，此容器仅包含一个文件，且其文件标识为 0x70000。  最后，我们找到了包含所有可用文件包信息的文件。该文件以魔数 0x12345678 开头。攻击工具包利用此文件格式来获取需要下载的额外组件的网址和解密密钥。

该漏洞利用工具包用于存储文件包信息的文件格式

利用目标设备所需的组件是使用软件包ID（Package ID）进行选择的。其高字节指定了软件包类型和所需硬件。我们已发现以下软件包类型：

• 0xF2 –      exploit for ARM64,
• 0xF3 –      exploit for ARM64E,
• 0xA2 –      Mach-O loader for ARM64,
• 0xA3 –      Mach-O loader for ARM64E,
• 2 – implant      for ARM64,
• 0xE2 –      implant for ARM64E.

有效载荷代码还支持其他类型的软件包，例如0xF1（这是一种针对不支持64位架构的旧款ARM设备的漏洞利用程序）。然而，有趣的是，此类漏洞利用程序对应的文件缺失了。

软件包ID的其他字节则定义了所支持的固件版本和CPU代次。

部分观察到的软件包ID（具有唯一内容的那些）

这些程序包内的文件也存储在经过加密和压缩的 0xF00DBEEF 容器中，但此次压缩为可选操作，由标志（Flags）字段中的第二位决定。不同程序包包含不同的文件集合。下表列出了所有可能的文件ID的描述。

观察到的文件标识符（ID）

在下载完必要组件后，有效载荷开始执行内核漏洞利用程序、Mach-O 加载器以及恶意软件启动器。有效载荷会根据固件版本、CPU 类型以及是否具备iokit-open-service权限来选择合适的 Mach-O 加载器。

内核漏洞利用程序

我们对该工具包中的全部五个内核漏洞利用程序进行了分析，发现其中一个是我们在“三角测量行动”（Operation Triangulation）中发现的那个漏洞利用程序的更新版本。虽然存在许多细微改动，但最显著的改动如下：  • 代码会考虑XNU版本字符串中的更多值，从而能进行更精确的版本检查。  • 增加了对iOS 17.2的检查。我们推测，在开发时（2023年12月发布）这是iOS的最新版本。  • 增加了对较新的苹果处理器的检查：A17、M3、M3 Pro、M3 Max（2023年秋季发布）。  • 增加了对iOS 16.5测试版4的检查。在我们向苹果公司报告后，该版本修补了这一漏洞利用程序。

如果目标漏洞已在iOS 16.5测试版4中修复，为何该漏洞利用程序仍需检查iOS 17.2和更新的处理器呢？通过检查其他漏洞利用程序便可找到答案：它们均基于相同的源代码。唯一的区别在于它们所利用的漏洞不同，因此添加这些检查是为了支持更新的漏洞利用程序，并且在重新编译后出现在旧版本中。

启动器

启动器负责协调漏洞利用后的各项活动。它也会利用内核漏洞利用程序及其提供的接口。不过，由于漏洞利用程序在执行过程中会创建特殊的内核对象，这些对象具备读写内核内存的能力，因此启动器只需重新利用这些对象即可，无需再次触发漏洞或重新走一遍完整的漏洞利用流程。启动器会清理漏洞利用痕迹，从带有0xDEADD00F魔数的配置文件中获取要注入的进程名称，将初始加载程序（stager）注入目标进程，利用该程序执行自身，并启动植入程序。

结 论

Conclusions

此案例再次表明，这类恶意工具的潜在广泛使用所带来的危险性。该框架原本是为网络间谍活动开发的，如今却被更广泛的网络犯罪分子所利用，致使数百万使用未打补丁设备的用户面临风险。鉴于其模块化设计和易于重复使用的特点，我们预计其他威胁行为者将开始将其纳入攻击手段。我们强烈建议用户尽快安装最新的安全更新（如果尚未安装的话）。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：卡巴斯基威胁情报 卡巴斯基 卡巴斯基《Coruna：三角行动（Operation Triangulation）中所使用的框架》