夜雨聆风谷歌近日披露了一个名为Coruna(又称CryptoWaters)的"新型且功能强大"的漏洞利用工具包,该工具专门针对运行iOS 13.0至17.2.1版本的苹果iPhone设备。
谷歌威胁情报小组(GTIG)指出,该工具包包含五大完整的iOS漏洞利用链,总计整合了23个漏洞。不过,该工具对最新的iOS版本无效。相关研究成果最早由《连线》杂志报道。
技术深度:全面整合与工程化设计
GTIG表示:"该漏洞利用工具包的核心技术价值在于其对iOS漏洞的全面收集,其中最先进的漏洞利用技术采用了非公开的利用方法和缓解机制绕过手段。围绕该工具包的框架工程化水平极高;各个漏洞利用模块自然衔接,通过通用的实用程序和利用框架组合在一起。"
据悉,自2025年2月起,该工具包已在多个威胁行为者之间流转。其传播路径始于商业监控行动,最终于2025年12月被一个以经济为动机的威胁行为者所使用。
目前尚不清楚该工具包的具体易手方式,但这一发现指向了一个活跃的二手零日漏洞交易市场,使得其他威胁行为者能够为其自身目的进行二次利用。移动安全厂商iVerify在一份相关报告中指出,该工具包与美国政府关联的威胁行为者此前开发的框架存在相似之处。
iVerify评论道:"Coruna是我们观察到的、复杂的间谍软件级能力从商业监控供应商扩散至国家行为体,最终用于大规模犯罪活动的最典型案例之一。"该厂商表示,此次复杂漏洞利用框架的使用标志着首次观察到针对iOS设备的大规模漏洞利用,表明间谍软件攻击正从高度定向向广泛部署转变。
技术细节与演变历程
谷歌表示,其于2024年初首次捕获了一个iOS漏洞利用链的部分内容,该利用链被一家未具名监控公司的客户所使用,其漏洞被整合进一个前所未见的JavaScript框架中。该框架旨在对设备进行指纹识别以验证其真实性,并收集包括具体iPhone型号及运行的iOS软件版本在内的详细信息。
该框架随后根据指纹数据加载相应的WebKit远程代码执行漏洞,接着执行指针认证代码绕过。其中涉及的漏洞包括CVE-2024-23222,这是一个苹果已于2024年1月在iOS 17.3、iPadOS 17.3、iOS 16.7.5和iPadOS 16.7.5中修复的WebKit类型混淆漏洞。
时间来到2025年7月,同一个JavaScript框架在域名"cdn.uacounter[.]com"上被检测到,该域名以隐藏iFrame的形式被植入遭入侵的乌克兰网站,涉及工业设备、零售工具、本地服务和电子商务等类别。一个名为UNC6353的疑似俄罗斯间谍组织被认为策划了此次行动。该活动的特殊之处在于,该框架仅针对特定地理位置的iPhone用户投放,其部署的漏洞包括CVE-2024-23222、CVE-2022-48503和CVE-2023-43000(另一个WebKit释放后使用漏洞)。值得注意的是,CVE-2023-43000虽在2023年7月发布的iOS 16.6中已被修复,但苹果直到2025年11月11日才在安全更新说明中补充了该条目。
第三次检测到该框架是在2025年12月。一批仿冒的网站(多数涉及金融领域)被发现会引导iPhone或iPad用户访问以"获得更好浏览体验",从而植入该iOS漏洞工具包。此次行动归因于威胁集群UNC6691,其漏洞投放不受地理位置限制。一旦用户通过iOS设备访问这些网站,一个隐藏的iFrame会被注入,用于投递包含CVE-2024-23222的Coruna工具包。
核心组件与已知漏洞列表
对攻击者基础设施的深入分析发现了该工具包的调试版本,其中包含覆盖五大完整iOS漏洞利用链的多种样本。总计识别出23个漏洞,影响范围从iOS 13到iOS 17.2.1。部分被利用的CVE编号及对应的目标版本如下:
Neutron - CVE-2020-27932(影响版本 13.x)
Dynamo - CVE-2020-27950(影响版本 13.x)
buffout - CVE-2021-30952(影响版本 13 → 15.1.1)
jacurutu - CVE-2022-48503(影响版本 15.2 → 15.5)
IronLoader - CVE-2023-32409(影响版本 16.0 → 16.3.1、16.4.0)
Photon - CVE-2023-32434(影响版本 14.5 → 15.7.6)
Gallium - CVE-2023-38606(影响版本 14.x)
Parallax - CVE-2023-41974(影响版本 16.4 → 16.7)
terrorbird - CVE-2023-43000(影响版本 16.2 → 16.5.1)
cassowary - CVE-2024-23222(影响版本 16.6 → 17.2.1)
Sparrow - CVE-2024-23225(影响版本 17.0 → 17.3)
Rocket - CVE-2024-23296(影响版本 17.1 → 17.4)
谷歌指出:"Photon和Gallium利用了此前在'三角测量行动'中作为零日漏洞使用的漏洞。Coruna工具包还嵌入了可重用模块,以简化对上述漏洞的利用过程。"
政治背景与最终用途
2023年6月,俄罗斯政府曾声称相关行动是美国国家安全局所为,指责其以"侦察行动"之名,入侵了数千台属于本国用户和外国外交官的苹果设备。
在实际攻击中,UNC6691被观察到利用该漏洞投递一个名为PlasmaLoader(又名PLASMAGRID)的存根二进制文件,该文件旨在从图片中解码QR码,并运行从外部服务器获取的附加模块,从而窃取加密货币钱包或Base、Bitget Wallet、Exodus、MetaMask等各类应用中的敏感信息。
GTIG补充道:"该恶意负载包含硬编码的C2服务器列表,并设有服务器无响应时的备用机制。它还嵌入了自定义域生成算法,使用字符串'lazarus'作为种子生成一系列可预测的域名(15个字符,.xyz顶级域)。攻击者利用谷歌的公共DNS解析器来验证这些域名是否活跃。"
防护建议
Coruna的一个显著特点是,它会跳过处于"锁定模式"或以隐私模式浏览的用户。为防范此类威胁,强烈建议iPhone用户及时将设备更新至最新版本,并开启"锁定模式"以增强安全性。