卡巴斯基最新研究显示,iOS 漏洞利用工具 Coruna 复用了 2023 年 Triangulation 行动中所涉及内核漏洞代码的升级版本,这意味着两者之间可能存在一定关联。尽管目前还不能仅凭共享漏洞断定攻击来自同一组织,但代码层面的相似性已经让这种联系变得更值得关注。
2025 年 3 月初,谷歌威胁情报小组 GTIG 披露了一套新的 iOS 漏洞利用工具包 Coruna,也被称作 CryptoWaters。该工具主要针对 iOS 13.0 至 17.2.1 的 iPhone,包含 5 条完整利用链和 23 个漏洞利用样本。谷歌认为,这套工具对旧版本和部分中间版本 iOS 设备威胁较大,但对最新系统版本无效。
GTIG 还发现,Coruna 已被用于三类攻击活动,包括某监控软件客户发起的定向攻击、UNC6353 面向乌克兰目标实施的“水坑攻击”,以及中国金融威胁组织 UNC6691 发起的大范围行动。这表明,二手 0Day 漏洞利用链正在地下市场持续流通,不同威胁组织会对已有工具进行改造后再次使用。
在对 Coruna 进行深入分析后,研究人员确认其框架中使用了多个已经修复的旧漏洞,其中包括 CVE-2023-32434 和 CVE-2023-38606。这两个漏洞最早曾作为 0Day 出现在 Triangulation 行动中。虽然相关漏洞细节已经公开,但卡巴斯基指出,Coruna 中对应的内核利用代码并非简单照搬,而是在原有基础上进行了升级和适配。
进一步分析发现,Coruna 不仅包含一个与 Triangulation 高度相似的更新版漏洞利用程序,还额外集成了 4 个基于相同框架构建的内核利用模块,其中部分开发时间甚至晚于 Triangulation。研究人员因此判断,这并不是临时拼装出来的漏洞工具,而更像是同一套利用框架持续演进后的新版本。
从攻击流程看,Coruna 采用模块化设计。整个链条通常由基于 Safari 的加载器启动,先识别设备信息和浏览器版本,再下载加密组件。随后,载荷通过 ChaCha20 解密和 LZMA 解压,释放出包含指令、文件和漏洞模块的容器。系统会根据目标设备的型号、CPU 架构和 iOS 版本,动态挑选合适的漏洞利用程序、加载器和后续恶意模块。
在对 5 个内核利用程序的逆向分析中,研究人员发现,其中一个就是 Triangulation 旧版漏洞利用链的升级变体。新版代码增加了更多 XNU 版本判断逻辑,并补充了对 iOS 17.2 以及 A17、M3 等新芯片的识别能力。虽然最初利用的漏洞早已被苹果修补,但这些新增检查逻辑说明,攻击者是在统一框架之上持续开发新版本漏洞利用程序,而不是单独维护某一个旧样本。
Coruna 的攻击后处理同样体现出较强的自动化能力。其启动器在完成提权后,不再重复触发漏洞,而是直接利用先前获得的内核访问权限进行内存读写、清理痕迹、挑选目标进程、注入加载器并部署最终恶意载荷。这样的流程不仅提高了攻击效率,也增强了隐蔽性。
卡巴斯基认为,这套原本偏向网络间谍用途的高级框架,如今正被更广泛的犯罪团伙采用,使大量尚未更新系统的苹果设备面临更高风险。由于其设计高度模块化、便于复用,未来很可能有更多威胁组织将类似能力纳入攻击体系,因此用户应尽快安装最新安全更新。
与此同时,安全厂商 Lookout 在 2025 年 3 月中旬又披露了一套名为 DarkSword 的 iOS 漏洞利用工具包。该工具自 2025 年底起已被多个组织使用,既包括监控软件供应商,也包括疑似具备国家背景的攻击者。DarkSword 主要瞄准 iOS 18.4 至 18.7 设备,并被观察到用于针对沙特、土耳其、马来西亚和乌克兰等地区的攻击活动。
研究显示,DarkSword 同样具备完整攻击链能力,可窃取凭证、加密钱包等敏感数据,并采取“快速入侵、快速外传、快速清痕”的策略完成攻击。现有线索表明,它与 Coruna 可能存在某种技术关联。这也进一步说明,高级 iOS 漏洞利用能力正在从少数顶级攻击者手中流向更广泛的威胁群体。
网站资讯
渠道合作
解决方案
更多服务
