概述

谷歌威胁情报小组（GTIG）的安全研究人员发现了一个名为“Coruna”的高度复杂的iOS漏洞利用工具包，该工具包导致数千台iPhone被黑。Coruna针对iOS 13.0至17.2.1版本，利用了五个完整的漏洞链，总共涉及23个漏洞。

Coruna的传播

最初，Coruna是由一家商业监控供应商在2025年初开发的工具，但很快落入了多个全球威胁行为者的手中，显示出零日漏洞在二级市场的繁荣。

全球攻击活动和负载分析

Coruna漏洞利用工具包的时间线揭示了高级能力向不同网络犯罪集团扩散的令人不安的趋势。

• 2025年2月，被一家监控供应商的客户首次观察到。
• 2025年夏季，UNC6353（疑似俄罗斯间谍组织）采用Coruna在乌克兰用户中发动水坑攻击。
• 2025年末，UNC6691（中国金融动机威胁行为者）利用虚假加密货币交易所发起大规模全球攻击。

攻击负载分析

Coruna的最终攻击阶段部署了一个名为PlasmaLoader的复杂加载器，该加载器注入iOS powerd根守护进程。PlasmaLoader专注于金融盗窃，扫描Apple Memos以获取BIP39备份短语，并部署专门模块从MetaMask和Trust Wallet等流行加密货币钱包中提取数据。

技术细节

Coruna框架利用JavaScript指纹识别技术，通过类型混淆交付针对WebKit的远程代码执行（RCE）漏洞利用，随后进行指针认证代码（PAC）绕过和沙箱逃逸。

缓解措施

为了防范这些复杂的漏洞利用链，用户强烈建议立即更新到最新版本的iOS。对于面临定向网络攻击高风险的个人，启用Apple的Lockdown模式可以提供关键的防御层，完全中和Coruna工具包的初始感染向量。

---

元記事: https://gbhackers.com/thousands-of-iphones-compromised-in-massive-hack-via-coruna-exploit-kit/