Coruna iOS 漏洞利用套件利用五条利用链中的 23 个漏洞，针对 iOS 13 至 17.2.1

Google 表示，其发现了一个名为 Coruna（又名 CryptoWaters）的“新型且强大”的漏洞利用套件，目标是运行 iOS 13.0 至 17.2.1 版本的 Apple iPhone 机型。

Google 威胁情报小组 (GTIG) 表示，该漏洞利用套件包含五条完整的 iOS 利用链，共计 23 个漏洞利用程序。该套件对最新版本的 iOS 无效。这一发现由《连线》(WIRED) 杂志率先报道。

GTIG 指出：“该漏洞利用套件的核心技术价值在于其汇集了全面的 iOS 漏洞利用程序，其中最先进的程序采用了非公开的利用技术和缓解机制绕过手段。该套件的框架工程化程度极高；各漏洞利用组件衔接自然，并通过通用的实用工具和利用框架组合在一起。”

据称，自 2025 年 2 月以来，该套件已在多个威胁行为者之间流传，从商业监控方转入政府支持的攻击者手中，最终于 12 月落入一个位于中国的出于经济动机的威胁行为者之手。

目前尚不清楚该漏洞利用套件是如何易手的，但这些发现表明二手零日漏洞利用市场十分活跃，使得其他威胁行为者能够为了自身目的对其进行再利用。在一份相关报告中，iVerify 表示，该漏洞利用套件与此前由隶属美国政府的威胁行为者开发的框架有相似之处。

iVerify 表示：“Coruna 是我们观察到的最典型案例之一，展示了复杂的间谍软件级能力如何从商业监控供应商扩散到国家级行为者手中，最终落入大规模犯罪运营者之手。”

该移动安全供应商表示，使用这种复杂的漏洞利用框架标志着首次观察到针对 iOS 设备的大规模利用，表明间谍软件攻击正从高度定向转向广泛部署。

Google 表示，其于去年年初首次捕获了一家未具名监控公司的客户所使用的 iOS 漏洞利用链的部分内容，这些漏洞利用程序被集成到一个前所未见的 JavaScript 框架中。该框架旨在对设备进行指纹识别，以确定其是否为真实设备并收集详细信息，包括具体的 iPhone 机型及其运行的 iOS 软件版本。

该框架随后根据指纹数据加载相应的 WebKit 远程代码执行 (RCE) 漏洞利用程序，进而执行指针认证代码 (PAC) 绕过。相关的漏洞利用涉及 CVE-2024-23222，这是 WebKit 中的一个类型混淆漏洞，Apple 已于 2024 年 1 月发布 iOS 17.3、iPadOS 17.3、iOS 16.7.5 和 iPadOS 16.7.5 对其进行了修复。

时间来到 2025 年 7 月，同一个 JavaScript 框架在域名 “cdn.uacounter[.]com” 上被检测到，该域名作为隐藏的 iFrame 加载在被入侵的乌克兰网站上。这些网站涉及工业设备、零售工具、本地服务和电子商务。据评估，一个名为 UNC6353 的疑似俄罗斯间谍组织是此次活动的幕后黑手。

这一活动的有趣之处在于，该框架仅分发给来自特定地理位置的特定 iPhone 用户。作为该框架一部分部署的漏洞利用程序包括 CVE-2024-23222、CVE-2022-48503 和 CVE-2023-43000，其中最后一个是 WebKit 中的释放后重用 (use-after-free) 漏洞。

值得注意的是，Apple 已在 2023 年 7 月发布的 iOS 16.6 和 iPadOS 16.6 中修复了 CVE-2023-43000。然而，安全发布说明直到 2025 年 11 月 11 日才更新并加入了该漏洞的条目。

该 JavaScript 框架第三次在野被发现是在 2025 年 12 月。一组虚假的中国网站被发现会投递该 iOS 漏洞利用套件，这些网站大多数与金融相关，它们会指示用户使用 iPhone 或 iPad 访问以获得更好的用户体验。该活动被归因于一个被追踪为 UNC6691 的威胁集群。

一旦通过 iOS 设备访问这些网站，就会注入一个隐藏的 iFrame 来投递包含 CVE-2024-23222 的 Coruna 漏洞利用套件。在这种情况下，漏洞利用的分发不受任何地理位置条件的限制。

对威胁行为者基础设施的进一步分析发现了该漏洞利用套件的调试版本，以及涵盖五条完整 iOS 利用链的各种样本。目前已识别出横跨 iOS 13 到 iOS 17.2.1 版本的总共 23 个漏洞利用程序。

该套件利用的部分 CVE 及其对应的目标 iOS 版本如下所列：

*   Neutron - CVE-2020-27932 (版本 13.x)
*   Dynamo - CVE-2020-27950 (版本 13.x)
*   buffout - CVE-2021-30952 (版本 13 → 15.1.1)
*   jacurutu - CVE-2022-48503 (版本 15.2 → 15.5)
*   IronLoader - CVE-2023-32409 (版本 16.0 → 16.3.1 和 16.4.0)
*   Photon - CVE-2023-32434 (版本 14.5 → 15.7.6)
*   Gallium - CVE-2023-38606 (版本 14.x)
*   Parallax - CVE-2023-41974 (版本 16.4 → 16.7)
*   terrorbird - CVE-2023-43000 (版本 16.2 → 16.5.1)
*   cassowary - CVE-2024-23222 (版本 16.6 → 17.2.1)
*   Sparrow - CVE-2024-23225 (版本 17.0 → 17.3)
*   Rocket - CVE-2024-23296 (版本 17.1 → 17.4)

Google 表示：“Photon 和 Gallium 利用的漏洞此前也曾作为‘三角测量行动’ (Operation Triangulation) 的一部分被用作零日漏洞。Coruna 漏洞利用套件还嵌入了可重用模块，以简化上述漏洞的利用过程。”

2023 年 6 月，俄罗斯政府声称该活动是美国国家安全局 (NSA) 所为，指责其入侵了属于国内用户和外交官的“数千台”Apple 设备，将其作为“侦察行动”的一部分。

据观察，UNC6691 利用该漏洞投递了一个代号为 PlasmaLoader（又名 PLASMAGRID）的加载器二进制文件，该文件旨在解码图像中的二维码，并运行从外部服务器检索到的附加模块，从而能够从 Base、Bitget Wallet、Exodus 和 MetaMask 等各种应用程序中窃取加密货币钱包或敏感信息。

GTIG 补充道：“该植入程序包含一份硬编码的 C2 列表，但也具有备用机制，以防服务器无响应。该植入程序嵌入了一个自定义域名生成算法 (DGA)，使用字符串 ‘lazarus’ 作为种子来生成可预测的域名列表。这些域名将有 15 个字符，并使用 .xyz 作为顶级域名 (TLD)。攻击者使用 Google 的公共 DNS 解析器来验证这些域名是否处于活动状态。”

Coruna 的一个显著特点是，如果设备处于锁定模式，或者用户处于无痕浏览模式，它会跳过执行。为了应对这一威胁，建议 iPhone 用户保持设备更新，并启用锁定模式以增强安全性。