2023年那场代号"三角行动"(Operation Triangulation)的iOS间谍攻击,曾让安全圈印象深刻——它只针对极少数高价值目标,像外科手术般精准。不到两年,同一套技术框架正以完全不同的姿态卷土重来:攻击范围从"点"变成"面",目标从外交官扩散到普通赌客。
卡巴斯基全球研究与分析团队(GReAT)的最新溯源显示,近期活跃的"Coruna"iOS攻击工具包,其内核漏洞利用代码正是2023年三角行动所用框架的"直系后代"。这不是代码抄袭,是同一批开发者持续维护的进化版本。
「Coruna首次被曝光时,公开证据不足以将其与三角行动关联——共享漏洞本身不能证明共享作者,」卡巴斯基首席安全研究员Boris Larin向The Hacker News表示,「但深入分析后发现,Coruna不是公开漏洞的拼凑物,而是原始三角行动框架的持续演进。包含对M3处理器和最新iOS版本的适配检查,说明原始开发者一直在主动扩展这套代码库。」
更关键的判断来自Larin的下半句:「原本作为精密间谍工具开发的东西,现在被无差别部署。」
从"三角行动"到"Coruna":同一条技术血脉
三角行动在2023年被卡巴斯基揭露时,展现了当时iOS攻击的顶尖水准。攻击者利用四个零日漏洞(包括CVE-2023-32434和CVE-2023-38606),通过iMessage的隐形附件传递恶意代码,全程无需用户交互。目标锁定在卡巴斯基自家员工及全球范围内的外交官、记者等特定人群。
这种"零点击"攻击链条的构建成本极高,通常只有国家级别的资源才能支撑。苹果随后在iOS 16.5 beta 4中修补了全部四个漏洞,三角行动的技术细节也逐渐被安全社区研究透彻。
2025年初,Google Threat Intelligence与iVerify先后披露了Coruna攻击工具包的存在。表面看,这是另一套针对iOS 13.0至17.2.1版本的攻击方案,包含五条完整的漏洞利用链和总计23个漏洞。但卡巴斯基的深度溯源揭开了表层差异——Coruna的内核漏洞利用模块与三角行动共享同一作者,基于相同的内核利用框架,核心代码高度同源。
技术层面的证据包括:代码结构、函数命名习惯、内存布局操作手法的一致性,以及对苹果A17、M3、M3 Pro、M3 Max芯片的专门适配。这些处理器大多发布于2023年下半年至2024年,明显是三角行动原始代码库的持续更新产物。
Coruna甚至保留了针对iOS 16.5 beta 4的兼容性检查——这个版本恰好修补了三角行动的全部漏洞。而iOS 17.2的检查逻辑,则是为后续加入的新漏洞预留的入口。
攻击逻辑:一次"自适应"的网页投毒
Coruna的入侵路径比三角行动更"接地气",也更易于大规模复制。
用户只需在Safari中访问一个被攻陷的网站,页面内嵌的"stager"(暂存器)代码就会开始工作:首先对浏览器环境进行指纹采集,识别操作系统版本、处理器型号等关键信息,然后从服务器端拉取匹配的漏洞利用组件。
这种"自适应"设计让同一套基础设施可以覆盖从iOS 13到17.2.1的广阔版本区间。卡巴斯基描述的后续流程是:「下载必要组件后,载荷开始执行内核漏洞利用、Mach-O加载器和恶意软件启动器。」
这里的Mach-O是苹果系统的可执行文件格式,Coruna需要绕过iOS的代码签名验证才能将其植入系统。内核漏洞利用成功后,攻击者获得最高权限,后续的数据窃取、持久化驻留都变得顺理成章。
与三角行动的"零点击"相比,Coruna需要用户主动访问恶意链接,攻击门槛看似降低。但正是这种设计,让它能够被集成到大规模的网络钓鱼和水坑攻击(watering hole)中——不需要知道目标的电话号码或Apple ID,只要把人骗到特定网站就行。
使用者变了:从间谍机构到"俄罗斯关联"团伙
技术框架的延续性,与使用者的多样性,构成了Coruna最耐人寻味的张力。
据Google和iVerify的追踪,Coruna最早于2024年初被一家未具名的监控公司客户使用。这类商业间谍软件供应商(如NSO Group、Intellexa的模式)通常向政府客户出售攻击能力,服务对象局限于特定国家机器。
但Coruna的后续扩散超出了这个范畴。卡巴斯基观察到,一个疑似与俄罗斯结盟的国家级行为体将其用于针对乌克兰的水坑攻击。更近期的一波大规模利用,则完全换了一副面孔——攻击者搭建了一批伪装成中国赌博和加密货币交易的虚假网站,通过搜索引擎优化和社交媒体引流吸引普通用户访问。
这些网站的访客会感染名为PlasmaLoader(亦称PLASMAGRID)的数据窃取恶意软件。与三角行动那种静默潜伏、长期监控的间谍风格不同,PlasmaLoader的目标更直接:加密货币钱包凭证、银行账户信息、身份识别数据,能变现的都要。
从国家间谍到网络犯罪,同一套技术基础设施在不同层级间流动。这种"技术下沉"现象在网络安全领域并不新鲜,但Coruna的案例特殊之处在于——它保留了国家级攻击的复杂度和维护投入,却被用于最朴素的批量收割。
卡巴斯基特别指出,Coruna的代码质量显示出持续的专业维护:对新硬件的快速适配、对iOS版本迭代的跟踪、漏洞利用链的模块化设计。这些都需要全职开发团队的支持,而非地下论坛流传的"一次性"攻击工具。
苹果的防御与攻击者的"版本管理"
面对Coruna的威胁,苹果的修补节奏成为关键变量。
Coruna覆盖的iOS版本跨度从13.0到17.2.1,意味着它整合了针对多个已修补漏洞的利用方案。攻击者的"版本管理"策略很实际:保留对旧版本的兼容性以覆盖更新迟缓的设备,同时追逐最新版本的漏洞以保持对前沿目标的穿透能力。
对普通用户而言,最直接的防护仍是及时更新系统。iOS 17.2之后的版本已不在Coruna的当前覆盖范围内,但这只是暂时的——代码库中预留的扩展接口,以及开发者展示出的维护能力,都暗示着新漏洞的整合只是时间问题。
更值得关注的或许是攻击模式的演变。三角行动代表了移动平台攻击的"精英时代":高成本、高隐蔽性、极窄的目标范围。Coruna则展示了同一技术基础的"工业化"可能——通过网页投毒和虚假网站,将精密攻击工具转化为可批量复制的犯罪基础设施。
卡巴斯基的发现留下一个未完全解答的问题:原始开发者与后续使用者之间究竟是什么关系?是技术泄露、授权转售,还是同一网络在不同场景下的多面运作?Larin的表述谨慎而明确——代码的演进显示"原始开发者在主动扩展",但部署方式的变化说明"使用者的意图和约束条件已截然不同"。
当一套曾为特定间谍任务设计的工具开始无差别地收割赌客和加密货币投资者,技术的中立性边界在哪里?而苹果封闭生态的"安全溢价",又能在这场持续的技术军备竞赛中维持多久?
热门跟贴