23个漏洞、5条完整攻击链、覆盖iOS 13到17.2.1——这组数字来自一个被命名为Coruna的iOS漏洞利用工具包。Google和iVerify本月早些时候首次披露它时,业内还在猜测它的来历。卡巴斯基的最新分析给出了答案:这不是什么新玩意儿,而是2023年那场代号"三角行动"(Operation Triangulation)的精密间谍工具,被原班人马升级后重新投放市场。
从"手术刀"到"霰弹枪":同一套代码的两种命运
2023年的三角行动是网络安全史上针对iOS最复杂的攻击之一。它利用4个零日漏洞,通过iMessage的隐形附件实现"零点击"入侵——目标甚至不用打开消息,手机就被拿下了。当时卡巴斯基的研究人员在自己的设备上发现了这次攻击,整个过程像一场精密的外科手术:目标明确、痕迹极小、持续数月。
两年后的Coruna保留了同一套内核漏洞框架,但打法完全变了。卡巴斯基全球研究与分析团队(GReAT)首席安全研究员Boris Larin说得很直接:「Coruna不是公开漏洞的拼凑货,它是原始三角行动框架的持续维护演进版本。」
关键证据藏在代码细节里。Coruna包含对A17、M3、M3 Pro、M3 Max芯片的支持检查,还有针对iOS 17.2和16.5 beta 4的版本探测——后者正是苹果修补全部4个三角行动漏洞的版本。换句话说,开发者在持续跟踪苹果的补丁节奏,并针对性地扩展武器库。
更耐人寻味的是攻击场景的转变。三角行动的目标据信是特定的高价值个人;Coruna则被用于两种截然不同的场景:一是疑似俄罗斯背景的国家行为体在乌克兰发起水坑攻击,二是通过伪造的中国赌博和加密货币网站进行大规模投放,最终植入名为PlasmaLoader(又名PLASMAGRID)的窃密木马。
23个漏洞的"菜单逻辑":你的iPhone型号决定吃哪颗子弹
Coruna的攻击流程设计得像一家自动化餐厅。用户在Safari中访问被攻陷的网站,一个"前台程序"(stager)先给浏览器做指纹采集——型号、系统版本、浏览器类型——然后从23个漏洞的"菜单"里挑出最合适的一道菜。
这23个漏洞分布在5条完整的iOS漏洞利用链中。其中CVE-2023-32434和CVE-2023-38606是三角行动用过的"老面孔",Coruna又新增了4个内核漏洞。卡巴斯基确认,所有漏洞都建立在同一套内核利用框架上,共享核心代码。
框架的模块化设计让武器维护变得异常高效。开发者不需要重写整个攻击链,只需替换或添加特定组件就能适配新设备。Larin指出:「对M3芯片和近期iOS版本的支持检查表明,原始开发者一直在积极扩展这个代码库。」
这种"平台化"思路在地下市场很有吸引力。一个能持续更新、覆盖多款芯片和系统版本的iOS攻击框架,其价值远高于一次性漏洞。Coruna的客户轨迹也印证了这一点:最早是某家未具名监控公司的客户在去年初使用,随后流向了更广泛的国家行为体和犯罪集团。
零日经济学的残酷算术:为什么精密武器会"降级"流通
三角行动暴露后,苹果在2023年6月紧急推送了iOS 16.5.1等补丁。按照常规剧本,这类国家级零日漏洞一旦曝光就失去了价值——苹果会修复,防御方会检测,攻击者会寻找新漏洞。
Coruna的出现打破了这种预期。同一批开发者没有弃用旧框架,而是将其改造成"降级版"批量工具。这种转变背后有一套冷酷的经济计算:零日漏洞的获取成本极高,开发周期漫长,而"1-day"或"N-day"漏洞(已有补丁但未普及修复的漏洞)配合社会工程手段,仍能有效覆盖大量目标。
伪造的中国赌博和加密货币网站就是典型的社会工程载体。这类站点本身就筛选出了特定心理画像的用户——追求快速获利、对风险提示麻木、设备安全意识薄弱。PlasmaLoader木马的任务很明确:窃取数据。至于具体是加密货币钱包密钥还是其他敏感信息,攻击者并不挑剔。
水坑攻击在乌克兰的部署则显示了另一种应用场景。相比大规模钓鱼,水坑攻击更隐蔽,针对特定人群(如访问特定新闻或政府网站的用户)。这种"双轨制"运营让Coruna的开发者能同时服务不同类型的客户:需要广撒网的犯罪集团,和需要精准打击的国家行为体。
防御方的困境:当攻击者比你更懂你的芯片
Coruna的代码细节透露了一个令人不安的事实:攻击者对苹果硬件的理解程度,可能不亚于部分苹果工程师。M3系列芯片2023年10月才发布,Coruna的支持检查已经到位。这种响应速度需要两个条件:一是开发者能持续获取最新设备进行测试,二是内核漏洞框架的架构足够灵活,能快速适配新硬件。
对普通用户而言,最直接的防护是保持系统更新。Coruna覆盖的iOS版本上限是17.2.1,而苹果目前的正式版已推进到18.x。但"更新"这件事在真实世界中充满摩擦——企业设备的管控策略、旧款iPhone的性能顾虑、用户对"新版本更耗电"的刻板印象,都在拖延补丁的普及速度。
更深层的问题在于攻击面的不可控。Safari作为iOS默认浏览器,是用户几乎无法回避的入口。苹果近年来力推的"锁定模式"(Lockdown Mode)能显著缩减攻击面,但代价是牺牲大量日常功能,普通用户几乎不会主动开启。
卡巴斯基的发现还留下一个未解之谜:三角行动的原始开发者究竟是谁?2023年的攻击被归因于一个拥有充足资源和技术能力的国家级行为体,但从未有确凿的归属结论。Coruna的"商业化"是否意味着原始团队开始对外提供服务,还是框架代码已被转手或泄露?
Larin的声明中没有给出答案,但留下了一句意味深长的判断:「最初作为精密间谍工具开发的东西,现在被不加区分地部署。」从手术刀到霰弹枪,变的不仅是攻击规模,还有武器流通的伦理边界——如果这种东西存在的话。
当同一套漏洞框架既能服务于针对特定个人的静默监控,也能驱动面向大众的批量窃密,防御策略该如何调整?苹果在芯片和系统层面的安全投入显然没有白费,但攻击者的"平台化"思路正在稀释这些努力的价值。下一个问题是:Coruna的开发者手里,是否已经有了针对M4芯片和iOS 18的更新版本?
热门跟贴