iOS漏洞套件Coruna攻击链分析：从WebKit到内核的跨版本威胁与防御

谷歌威胁情报集团（GTIG）近期披露了一个名为Coruna的尖端iOS攻击工具包。这个堪称“漏洞军火库”的框架，在活跃期间，其攻击范围覆盖了从 iOS 13.0到17.2.1 几乎横跨四年的所有主流版本，对大量iPhone用户构成了严重威胁。

不是单一漏洞，而是精心设计的“连环计”

Coruna的可怕之处，在于它并非依靠某个单一的漏洞攻破防线，而是构建了五条完整的漏洞利用链条，其中包含了整整23个独立漏洞。从浏览器入口到内核控制，每一步都精准地踩在了iOS系统安全的痛点上。

根据曝光的信息，这套工具包的攻击链覆盖了从WebContent进程的读写、沙盒逃逸、权限提升到PPL（页面保护层）绕过等几乎所有安全环节。部分漏洞代码甚至留下了专业的英文注释，显示出其背后开发团队具备国家级攻击者水准的技术储备。

其中，Photon和Gallium这两个漏洞组件，更是曾在2023年卡巴斯基曝光的“三角测量行动”中出现过。这意味着，Coruna的开发者很可能在吸收并整合了过往最顶级的攻击技术与资源。

一条漏洞链的“三重人生”：追踪武器流转路径

谷歌的追踪记录清晰地显示，Coruna在短短一年内经历了三个截然不同的“宿主”，完整地勾勒出一条尖端网络武器从商业公司流向地缘政治间谍活动，最终落入犯罪集团手中的路径。

第一阶段：商业监控（2025年初）

研究人员首次捕获到Coruna的踪迹时，它被包裹在一个高度混淆的JavaScript框架内。这套框架能精准识别iPhone型号和iOS版本，然后动态加载对应的WebKit远程代码执行漏洞。这是典型的商业监控公司的操作模式——按需定制，精准打击特定目标。

第二阶段：地缘政治间谍（2025年夏）

很快，这套完全相同的代码框架出现在了一个名为 uacounter[.]com 的域名上，并被以隐藏iframe的形式，植入了数十家乌克兰的工业、零售网站。当特定地理位置的iPhone用户访问这些网站时，攻击便会悄然触发。这一次，它的使用者被判定为国家背景的间谍组织（UNC6353）。

第三阶段：加密货币大盗（2025年底）

到了2025年末，Coruna的完整工具包又出现在一个庞大的虚假中国金融和加密货币网站网络中。攻击者搭建了假冒的WEEX交易所等平台，专门诱导iPhone用户访问。此时，它的目的已从情报收集，彻底转向了赤裸裸的金融盗窃。

攻击的终极目标：直指加密资产

在成功突破系统的层层防线后，一个名为PlasmaLoader的最终载荷会被植入器注入到系统级的 powerd 进程中。它会伪装成 com.apple.assistd 服务，以此实现隐蔽的长期驻留。

它的目标非常明确：18款主流加密货币钱包，包括MetaMask、BitKeep、Phantom等。恶意软件会通过钩子（Hook）函数，在用户操作时直接窃取钱包的敏感数据。

更令人担忧的是，它还会主动扫描苹果自带的“备忘录”应用，从中寻找BIP39助记词、私钥，以及诸如“备份短语”、“银行账户”等关键词。对于习惯将重要密码和恢复助记词记在手机备忘录里的用户来说，这无异于将自己的数字金库钥匙直接放在了窃贼面前。

所有被窃取的数据都会通过HTTPS加密通道外传至攻击者控制的服务器。分析人员在其通信代码中发现了中文字符串注释，以及一些疑似由大语言模型（LLM）辅助生成的代码结构，这为追踪攻击者身份增添了一层迷雾。

用户该如何防御？

好消息是，根据谷歌的报告，Coruna所依赖的 完整的漏洞利用链条 对最新的iOS版本已经无效。这意味着，对于普通用户而言，最有效、最简单的防御手段就是保持系统更新。

立即采取的行动建议：

1. 立刻更新系统：将你的iPhone升级到官方提供的最新iOS版本。这是封堵所有已知漏洞最根本的方法。
2. 开启“锁定模式”：如果你因特殊原因暂时无法更新系统，请务必在“设置”>“隐私与安全性”中开启iPhone的“锁定模式”。Coruna在检测到该模式时会主动停止攻击行为。
3. 警惕不明网站：尽量避免通过手机Safari浏览器访问来源不明的金融、加密货币交易或高额促销类网站，尤其是通过短信或社交媒体分享的短链接。
4. 检查网络异常：高级用户可以留意设备是否有向陌生的 .xyz 等非主流域名发起的网络请求，或者在抓包数据中是否捕获到含有 sdkv、x-ts 等特殊字段的HTTP流量。

对于这类复杂攻击的深入分析和防护技术探讨，一直是安全技术社区的焦点。如果你对移动安全、漏洞挖掘或 逆向工程 有更多兴趣，欢迎在技术社区中进行交流与分享。

资讯来源：本文内容综合编译自谷歌威胁情报集团（GTIG）发布的关于Coruna攻击套件的技术报告及相关网络安全媒体分析。