谷歌威胁分析小组(GTIG)近日发布了一份最新研究报告,披露了一个名为“Coruna”的高危iOS漏洞攻击套件。该工具包的传播路径曲折且隐秘,最初从一家商业监控公司的客户流出,后经俄罗斯间谍组织,最终被中国境内的网络犯罪团伙用于金融犯罪,这一过程揭示了地下漏洞利用“供应链”的复杂性与成熟度。
报告将Coruna描述为迄今公开披露的最为全面的iOS漏洞攻击套件之一。其攻击范围覆盖了从iOS 13.0至iOS 17.2.1的众多版本,横跨四年间的iOS系统迭代,共包含23个独立的漏洞利用程序。
据GTIG追踪,该工具包首次出现于2025年2月,当时被一家商业监控供应商的客户所使用。到了2025年夏季,同一攻击框架出现在针对乌克兰用户的“水坑攻击”中,攻击者疑似与俄罗斯情报组织有关。所谓“水坑攻击”,即攻击者首先攻陷特定目标群体可能访问的网站,进而实现感染。
更值得关注的是,2025年末,一个以金融盗窃为动机的中国境内攻击者,将该套件大规模部署于一个仿冒金融和加密货币交易的虚假网站网络中。GTIG表示,目前尚不清楚该漏洞套件是如何在不同组织间流转的,但这强烈暗示着一个活跃的“二手”零日漏洞交易市场的存在。这种接力式的攻击链条,使得高级攻击工具不再局限于国家级攻击者,最终可能对普通用户造成直接威胁。
从技术层面分析,Coruna的设计展现出了极高的工程化水平。当用户访问受感染的网站时,它会精准识别来访iPhone的设备型号与系统版本,并为之匹配合适的攻击载荷。其攻击代码采用了强加密方式进行混淆,并封装于攻击者自创的自定义格式中,这给安全研究人员的拦截与分析工作设置了巨大障碍。
尤为关键的是,该套件在发动攻击前会进行一项关键检测:若目标设备已启用苹果的“锁定模式”,则会主动终止攻击尝试。这从侧面印证了苹果这一极端安全功能的有效性,它通过严格限制设备功能,成功构筑了一道能够抵御此类高级威胁的防线。
根据报告,Coruna的核心目标明确指向加密货币钱包与金融数据。它能够挂钩18种不同的加密应用程序,以窃取钱包凭证。其载荷功能强大,不仅可以解码存储在磁盘图像中的二维码,还包含专门模块用于分析文本数据,搜索BIP39助记词序列或“备份短语”、“银行账户”等特定关键词,甚至会对苹果自带的“备忘录”应用进行扫描,寻找常见的种子短语。
客观来看,Coruna的出现反映了移动端高级持续性威胁(APT)的产业化趋势。漏洞利用工具包的模块化、自动化以及在不同攻击者之间的流转,降低了发动精密攻击的门槛。尽管该套件对iOS 17.2.1之后的新版本系统已无效,但它为行业敲响了警钟:即便是苹果这样以安全著称的封闭生态系统,其安全漏洞也在被持续武器化并进行地下交易。
对于仍在使用iOS 17.2.1或更早版本系统的用户,升级至最新版系统是当前最有效的防护措施。此外,对于高风险人群(如记者、活动人士、企业高管),主动启用设备中的“锁定模式”,已然被证明是一种能够有效抵御此类复杂攻击的务实选择。此次事件也促使业界进一步思考,如何在安全性与设备可用性之间,为不同需求的用户群体提供更灵活、更具层级的防护策略。