卡巴斯基最新调查指出,Google 披露的 iOS 漏洞利用工具 Coruna 很可能并非新作,而是源自三年前的网路间谍行动 Operation Triangulation。研究人员将 Coruna 核心代码与 Triangulation 使用的攻击工具比对后,发现包括 CVE-2023-32434 与 CVE-2023-38606 在内的关键模块高度吻合,且有四个漏洞是在卡巴斯基当年揭露后被加入到工具包中,用于同一波活动。分析显示,Coruna 各漏洞利用模块共享大量程式码,由同一核心框架开发,说明这是统一设计的套件而非拼凑产物。攻击流程以 WebKit(Safari 排版引擎)漏洞为切入点,先进行设备指纹识别,再根据 iOS 版本动态选择远端代码执行与绕过机制,随后下载并解密后续负载,最终争取到内核层控制权。卡巴斯基还发现更新版利用链加入了对 iOS 17.2、特定新处理器(A17、M3 系列)与某些测试版(如 iOS 16.5 Beta 4)的检测,反映出开发者在原有模组上持续扩充,且在为旧工具重新编译时留存多余检查。鉴于 Coruna 的模块化与可重用性,卡巴斯基警告更多攻击者可能借此入场,呼吁使用者与企业及时安装最新安全更新,以降低被此类漏洞利用套件侵害的风险。
惊了!iOS 利用工具 Coruna 竟早已存在3年,间谍级攻击链被卡巴斯基扒出
