这个 iOS Exploit Kit 有 23 种攻击——但 Lockdown Mode 完全阻止了它

Source: MacRumors

Google 的威胁情报小组（GTIG）发布了一份关于强大 iOS 利用套件 Coruna 的新报告。该套件从一家监控供应商的客户流转至俄罗斯间谍组织，再转至中国网络犯罪分子，揭示了一个复杂的利用“供应链”。

Coruna 被描述为公开记录中最全面的 iOS 利用工具包之一。它针对运行 iOS 13.0 至 iOS 17.2.1 的 iPhone，包含 23 项利用，跨越四年的 iOS 版本。

背景

• 首次检测： 2025 年 2 月，由一家商业监控供应商的客户使用。
• 2025 年中期： 出现在疑似俄罗斯间谍组织针对乌克兰用户的水坑攻击中。
• 2025 年末： 被一家位于中国、以金钱为动机的行为体在大量假冒金融和加密货币网站网络中部署。

GTIG 指出，套件在不同行为体之间的转手表明“二手”零日利用的活跃市场。

技术细节

• 动态定位： 当用户访问受感染站点时，套件会识别 iPhone 型号和 iOS 版本，然后选择相应的利用。
• 加密： 攻击代码经过高度混淆并使用强加密，导致拦截和分析困难。
• 自定义封装： 套件使用其开发者自行发明的专有格式。
• 文档： 包含详细的英文说明，解释其工作原理，并引入此前未公开的攻击技术。

能力

• 加密钱包聚焦： 钩取 18 种不同的加密货币应用，以窃取钱包凭证。
• 二维码解码： 能从设备上存储的图像中解码二维码。
• 文本分析： 扫描 BIP‑39 词组序列或诸如 “backup phrase”“bank account” 等关键词。
• Apple Notes 扫描： 在 Apple Notes 中查找典型的种子短语。

锁定模式（Lockdown Mode）有效性

如果用户启用了 Apple 的 Lockdown Mode，套件会完全中止攻击——甚至不会尝试利用。这表明锁定模式能够有效阻止即使是高度复杂的利用套件。

影响与建议

• 运行 iOS 17.2.1 或更早版本 的设备仍可能受到影响。
• 该套件 不 对更新的 iOS 版本起作用，强烈建议更新至最新 iOS 版本。
• 启用 Lockdown Mode 可为此类攻击提供额外防护。有关启用方法，请参阅 Apple 的指南： Enable Lockdown Mode on iOS & Mac。