间谍软件级 Coruna iOS 漏洞利用套件现已用于加密货币盗窃攻击

HackerNews 编译，转载请注明出处：

一套此前未公开、包含 23 个 iOS 漏洞利用代码的工具集 “Coruna”，已被多个威胁组织用于定向间谍活动和以牟利为目的的攻击。

Coruna 套件包含5 条完整 iOS 漏洞利用链，其中最复杂的利用非公开技术和防护绕过手段，支持 iOS 13.0 至 17.2.1（2023 年 12 月发布）。

谷歌威胁情报小组（GTIG）研究人员于 2025 年 2 月首次观察到与 Coruna 相关的活动，该活动归属于某监控软件厂商的客户。

当时，研究人员获取了其 JS 投递框架以及针对 CVE-2024-23222 的利用代码，该漏洞是可在 iOS 17.2.1 实现远程代码执行（RCE）的 WebKit 漏洞。苹果已于 2024 年 1 月 22 日在 iOS 17.3 修复该漏洞，此前该漏洞曾被用于 0day 攻击。

同年夏季再次发现同一混淆框架，被疑似俄罗斯网络间谍组织 UNC6353 用于水坑攻击，针对访问被攻陷乌克兰网站的 iPhone 用户，这些网站涉及电商、工业设备、零售工具与本地服务。

Coruna 套件投放时间线（来源：谷歌）

Coruna 漏洞套件能力

GTIG 分析师在 2025 年底获取完整套件后发现，其包含 5 条完整利用链，共使用 23 个漏洞，包括：

·     WebKit 远程代码执行

·     指针认证码（PAC）绕过

·     沙箱逃逸

·     内核提权

·     页面保护层（PPL）绕过

“这些漏洞利用代码附带详尽文档，包括英文母语者编写的文档字符串与注释。最先进的利用代码使用了非公开漏洞利用技术与防护绕过手段。”GTIG 研究人员表示。

部分利用代码复用了三角行动（Operation Triangulation） 中首次发现的漏洞，该行动于 2023 年 6 月由卡巴斯基曝光。该公司后续发现，这些利用代码滥用了苹果设备中未公开的硬件特性。

据 GTIG 研究人员介绍，Coruna 会对设备与系统版本进行指纹识别，然后选择对应的利用链执行。如果设备开启了锁定模式（Lockdown Mode） 反间谍保护或隐私浏览，该框架会停止运行。

适用于 iOS 15.8.5 的 Coruna 利用链（来源：谷歌）

投放 PlasmaGrid 恶意程序

GTIG 分析发现，Coruna 利用链成功后投放的最终载荷之一是名为 PlasmaLoader 的加载器，研究人员将其追踪为 PlasmaGrid，该恶意程序会注入到 iOS 根守护进程 powerd 中。

但该恶意程序并不具备典型间谍软件的功能。它会从 C2 服务器下载额外模块，针对 MetaMask、Phantom、Exodus、BitKeep、Uniswap 等加密货币钱包应用。

威胁组织使用虚假金融与加密货币相关网站投递漏洞套件，诱导访客使用 iOS 设备访问页面。

目标数据包括钱包助记词（BIP39）、“备份助记词”“银行账户” 等敏感字符串，以及存储在苹果备忘录中的数据。

窃取的数据会使用 AES 加密后外传，发送到硬编码的 C2 地址。为提高抗关停能力，该后门还包含以字符串 “lazarus” 为种子的域名生成算法（DGA），生成 .xyz 域名。

GTIG 无法确定 Coruna 如何从服务于监控厂商的间谍活动，流向针对加密货币用户的牟利型恶意活动。

GTIG 在报告中指出：“扩散途径尚不明确，但表明存在活跃的‘二手’0day 漏洞交易市场。”

监控厂商对 Coruna 这类漏洞套件实施严格权限管控，用于为政府客户提供高度定向行动的产品中。苹果一贯表示，此类安全漏洞仅被用于针对高价值目标的有限攻击。

移动安全公司 iVerify 表示，Coruna 是迄今为止最典型的案例之一，证明 “高级间谍软件级能力” 从商业监控厂商流向国家级攻击者，并最终落入大规模犯罪活动手中。

这印证了 iVerify 长期以来的观点：移动威胁格局正在快速演变，“曾经仅用于针对国家元首的工具，现在正被用于攻击普通 iPhone 用户。”

谷歌已将分析 Coruna 时识别的所有网站与域名加入安全浏览名单，并建议 iOS 用户升级到最新版本。若无法更新，建议开启锁定模式（Lockdown Mode）。

除了 Coruna 漏洞套件包含的漏洞及其代号外，GTIG 报告还提供了后门与相关模块的失陷指标（IOC），以及攻击基础设施信息。

消息来源：bleepingcomputer.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文