含23个漏洞利用的Coruna攻击工具包入侵数千台iPhone设备
好,我现在需要帮用户总结这篇文章的内容,控制在100字以内。首先,我得通读整篇文章,抓住主要信息。 文章讲的是谷歌威胁情报小组发现了一个名为Coruna的iOS漏洞利用工具包,包含23个漏洞,影响了从iOS 13到17.2.1的设备。这个工具包通过五条攻击链入侵了数千台iPhone。漏洞利用文档用英文写,显示国家级特征。 然后,时间线分为三个阶段:2025年2月商业监控客户、夏季俄罗斯间谍活动、年末中国金融诈骗。攻击链末端有一个名为PlasmaLoader的载荷,专门窃取加密货币钱包数据。 最后,文章建议用户更新iOS版本或启用锁定模式,并避免访问可疑网站。 现在,我需要把这些信息浓缩到100字以内。重点包括:工具包名称、漏洞数量、影响范围、国家级特征、攻击阶段、窃取数据以及安全建议。 确保语言简洁明了,不使用复杂的术语。同时,开头不需要“这篇文章”之类的表述,直接描述内容。 最终总结应该涵盖工具包的基本信息、影响范围、攻击阶段和防范措施。 </think> 谷歌发现Coruna iOS漏洞利用工具包包含23个漏洞,影响iOS 13至17.2.1系统。该工具包通过五条攻击链入侵数千设备,并被多个威胁组织用于商业监控、间谍活动和金融诈骗。其载荷可窃取加密货币钱包数据。建议用户更新至最新iOS版本或启用锁定模式以防范攻击。 2026-3-3 19:21:8 Author: www.freebuf.com(查看原文) 阅读量:0 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

imageCoruna iOS漏洞利用工具包

谷歌威胁情报小组(GTIG)近日曝光了Coruna——一个包含23个漏洞利用的复杂iOS攻击工具包,该工具包通过五条完整攻击链在2025年期间入侵了数千台运行iOS 13.0至17.2.1系统的iPhone设备。

Coruna是GTIG发现的一款模块化高级iOS攻击框架,攻击范围覆盖从2019年9月发布的iOS 13.0到2023年12月发布的iOS 17.2.1系统的苹果iPhone机型。

该工具包的名称是在某威胁攻击者错误部署调试版本框架时暴露的,内部代码名称和工具包身份因此泄露。

其漏洞利用文档均采用地道英文撰写,最先进的组件利用了非公开的漏洞利用技术和防护绕过手段,具有国家级攻击工具的典型特征。

三阶段攻击时间线

GTIG追踪发现Coruna在2025年间流经三个不同的威胁攻击者生态圈,这为了解精英级漏洞利用工具如何从商业监控供应商扩散到国家资助的间谍组织,最终落入以经济利益为目的的犯罪分子手中提供了罕见窗口。

  • 2025年2月 - 商业监控客户:GTIG首次捕获到通过前所未见的JavaScript框架传送的iOS攻击链组件,该框架采用独特混淆技术,先对设备进行指纹识别以确定iPhone型号和iOS版本,再加载相应的WebKit远程代码执行(RCE)漏洞利用程序及指针验证码(PAC)绕过工具。
  • 2025年夏季 - 俄罗斯间谍活动(UNC6353):相同的JavaScript框架被发现托管在cdn.uacounter[.]com上,以隐藏iFrame形式注入数十个遭入侵的乌克兰网站,涉及工业、零售和电子商务领域。漏洞利用程序根据地理位置选择性投放给iPhone用户。GTIG已通知乌克兰计算机应急响应小组(CERT-UA)清理所有受影响网站。
  • 2025年末 - 中国金融诈骗(UNC6691):完整的漏洞利用工具包从大量假冒的中国金融和加密货币网站网络中获取,这些网站专门诱骗iOS用户。其中一个假冒的WEEX加密货币交易所网站会弹出窗口,特别提示用户通过iPhone访问。

Coruna漏洞利用时间线(来源:谷歌)

23个漏洞利用程序构成五条完整攻击链,可实现WebKit RCE、PAC绕过、沙箱逃逸、权限提升(PE)和页面保护层(PPL)绕过。关键CVE包括:

类型 代号 目标iOS版本 CVE编号
WebContent读写 buffout 13 → 15.1.1 CVE-2021-30952
WebContent读写 jacurutu 15.2 → 15.5 CVE-2022-48503
WebContent读写 terrorbird 16.2 → 16.5.1 CVE-2023-43000
WebContent读写 cassowary 16.6 → 17.2.1 CVE-2024-23222
沙箱逃逸 IronLoader 16.0 → 16.3.1 CVE-2023-32409
权限提升 Photon 14.5 → 15.7.6 CVE-2023-32434
PPL绕过 Gallium 14.x CVE-2023-38606
PPL绕过 Sparrow 17.0 → 17.3 CVE-2024-23225
PPL绕过 Rocket 17.1 → 17.4 CVE-2024-23296

其中Photon和Gallium两个漏洞利用程序针对的漏洞曾在2023年卡巴斯基发现的iOS间谍活动"三角测量行动"中被使用过。

PlasmaLoader:金融窃密载荷

在攻击链末端,名为PlasmaLoader(追踪编号PLASMAGRID)的分阶段二进制文件会使用com.apple.assistd作为伪装标识,将自身注入iOS根级守护进程powerd中。

该载荷通过挂钩函数窃取敏感数据,针对包括MetaMask、BitKeep和Phantom在内的18款加密货币钱包应用。它还能扫描Apple Notes中的BIP39助记词和"备份短语"、"银行账户"等关键词。所有日志字符串和代码注释均使用中文撰写,且有证据表明注释结构由大语言模型生成,强烈指向中文开发者。

网络通信采用HTTPS协议和AES加密,同时基于字符串"lazarus"的自定义域名生成算法(DGA)会生成15个字符的备用.xyz域名,并通过谷歌公共DNS解析器进行验证。

GTIG已将识别出的所有域名和网站添加到谷歌安全浏览服务中。Coruna漏洞利用工具包对最新版iOS无效。安全团队和用户应采取以下措施:

  • 立即将所有iPhone更新至最新iOS版本
  • 若无法更新则启用锁定模式——Coruna在检测到锁定模式时会主动退出
  • 避免通过移动版Safari访问未经认证的金融/加密货币网站
  • 监控对.xyz域名的异常网络请求或HTTP标头sdkvx-ts等潜在C2指标

参考来源:

Coruna Exploit Kit With 23 Exploits Hacked Thousands of iPhones

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/endpoint/472266.html
如有侵权请联系:admin#unsafe.sh