一、问题:高危工具套件曝光,波及范围广泛 3月4日,谷歌发布安全研究博文,正式披露一套代号为"Coruna"的iPhone破解工具套件。据谷歌威胁情报小组(GTIG)调查,该工具套件包含5条完整的iOS漏洞利用链,共涉及23个独立漏洞利用程序,攻击目标覆盖运行iOS 13.0至17.2.1版本的iPhone设备,时间跨度从2019年9月至2023年12月。目前已有逾4.2万台设备确认受到波及。 值得关注的是,该工具套件并非普通的网络攻击工具,其核心价值于集成了多种非公开漏洞利用技术,并内置了针对系统安全缓解机制的绕过手段,技术复杂程度远超一般网络犯罪工具,显示出专业化、组织化的研发背景。 二、原因:多环节漏洞叠加,攻击链条精密 从技术架构来看,Coruna工具套件的攻击流程分为多个层次,环环相扣。攻击者首先利用JavaScript框架对目标设备进行指纹识别,精准筛选出符合攻击条件的iOS设备,随后投放针对WebKit浏览器引擎的远程代码执行漏洞,并配合指针身份验证代码绕过攻击,突破系统底层防护机制。 攻击链末端载荷被命名为"PlasmaLoader",由GTIG追踪标记为PLASMAGRID。该载荷一旦植入设备,便会注入系统核心进程,并自动扫描设备内安装的加密货币钱包应用,包括MetaMask、Trust Wallet等主流平台,进而窃取用户的助记词与私钥,实现对数字资产的非法转移。 此次攻击之所以能够大规模奏效,根本原因在于大量用户长期未能及时更新操作系统,使得已知漏洞长期处于暴露状态,为攻击者提供了可乘之机。 三、影响:间谍组织介入,威胁性质升级 GTIG的调查显示,Coruna工具套件已不仅限于普通网络犯罪领域,其流通范围已延伸至外国间谍机构。2025年年初,该工具包首次被发现用于定向攻击行动。同年夏季,间谍组织UNC6353利用该工具包发动"水坑攻击",通过在被入侵网站中植入隐蔽内嵌框架的方式分发恶意代码,悄无声息地感染访问用户的设备。 2025年年底,另一组织UNC6691在大规模行动中部署了同一工具包。攻击者专门构建了大量以金融服务和加密货币交易为主题的虚假网站,诱导用户使用iOS设备访问,在用户毫无察觉的情况下触发漏洞并窃取资产。 间谍组织的深度介入,意味着此次事件的威胁性质已从单纯的经济犯罪上升至国家安全层面,其潜在危害不可低估。 四、对策:多方协同响应,修复措施已落地 面对上述威胁,涉及的各方已采取积极应对措施。苹果公司已在iOS 18版本中完成对上述全部漏洞的修复,新版本系统对WebKit引擎及底层安全机制进行了全面加固,Coruna工具套件无法对最新版本的iOS系统构成有效攻击。 谷歌上则已将与Coruna工具套件相关的所有恶意网站及域名纳入"安全浏览"拦截列表,从流量入口层面阻断攻击路径,降低用户遭受"水坑攻击"的风险。 安全研究人员强调,对仍在使用iOS 17.2.1及以下版本的用户来说,将设备升级至最新iOS版本是当前消除风险的最直接、最有效手段。 五、前景:移动端安全形势趋于复杂,系统性防护亟待强化 此次事件折射出移动终端安全领域的深层隐患。随着加密货币资产规模持续扩大,以移动设备为攻击入口、以数字资产为窃取目标的网络犯罪活动正体现为工具化、产业化的发展趋势。,国家级行为体对商业漏洞利用工具的采购与使用,深入模糊了网络犯罪与网络间谍活动之间的边界,给全球网络安全治理带来新的挑战。
安全不是一次性工程,而是持续的治理能力。此次事件再次说明,智能终端与金融、生活的连接越深,"及时更新、最小暴露、谨慎访问"就越应该成为用户的基本习惯。对行业而言,加快漏洞修复响应、推动跨平台风险协同,是在持续演进的攻防博弈中守住用户安全与数字信任的关键所在。