【转载】通杀 iPhone 的漏洞工具包遭泄露:美国政府级黑客工具流入黑市,你的苹果手机已成提款机!
一套原本只为特定国家服务的 iOS 漏洞利用框架,如今正在网络犯罪分子手中疯狂敛财,从乌克兰的政府网站到某大国的虚假加密货币平台,无一幸免。
2026 年 3 月,移动安全领域迎来了一场地震。安全研究机构 iVerify 与谷歌威胁情报小组(GTIG)几乎同时披露了一起震惊业界的重大安全事件:一套代号为“Coruna”的复杂 iOS 漏洞利用框架,已从政府客户手中泄露,并在过去一年中被多个不同背景的攻击者大规模使用。
这并非普通的黑客工具。Coruna 框架包含了 5 条完整的 iOS 漏洞利用链,整合了 23 个独立漏洞,能够攻击从 iOS 13 到 iOS 17.2.1 之间几乎所有版本的 iPhone 设备。这意味着,过去近四年间生产的 iPhone,在这套工具面前几乎门户大开。
01 解剖 Coruna:这不是普通黑客能造出的武器
谷歌威胁情报小组通过对 Coruna 框架的深入逆向分析,揭示了一个令人不寒而栗的事实:这套工具的工程化水平极高。
框架内部采用了极为精密的模块化设计,每个漏洞利用模块都有清晰的代码命名——buffout、jacurutu、bluebird、terrorbird、cassowary……这些以鸟类命名的 WebKit 远程代码执行漏洞,覆盖了从 iOS 13 到 iOS 17.2.1 的完整版本区间。
更令人震惊的是,框架内部嵌入了“调试版本”,将漏洞的代码名称清晰地暴露在研究人员面前。Photon 和 Gallium 这两个内核漏洞利用模块,与 2023 年卡巴斯基披露的“三角行动”(Operation Triangulation)中使用的零日漏洞完全一致——而那起攻击,此前被广泛归因于美国政府。
框架还包含了极为先进的绕过技术:能够检测设备是否开启了“锁定模式”(Lockdown Mode)或用户是否正在使用隐私浏览,一旦发现立即中止攻击;拥有针对指针认证码(PAC)的多种绕过方案;内核漏洞中嵌入了绕过内核级 PAC 的内部模块。
这是一套由国家行为体投入巨资研发、经过实战检验的顶级网络武器。
02 从政府工具到黑市商品:一次危险的扩散
Coruna 的传播路径揭示了商业间谍软件市场的失控现状。
谷歌威胁情报小组的追踪显示,2025 年 2 月,他们首次捕获到这套框架的部分组件——当时,一家商业监控供应商的客户正在使用它进行高度定向的监控行动。
仅仅几个月后,情况发生了变化。2025 年夏季,同一个 JavaScript 框架出现在乌克兰大量被黑的网站上——从工业设备供应商到本地服务网站,无一幸免。这些网站的页面上被嵌入了一个隐藏的 iFrame,加载来自 cdn.uacounter[.]com 的恶意代码,专门针对特定地理位置的 iPhone 用户发动攻击。谷歌与 CERT-UA 合作清理了所有被黑网站,并将其归因于一个疑似俄罗斯背景的间谍组织 UNC6353。
故事的转折发生在 2025 年底。 谷歌研究人员在某大国境内发现了一大批虚假金融网站——伪造的加密货币交易平台、投资理财页面,它们都在试图诱导用户使用 iOS 设备访问。一旦用户上钩,同样的 Coruna 框架便会悄然启动。
这一次,攻击者不再关注用户的地理位置,不再区分目标是政府官员还是普通公民。任何使用 iPhone 访问这些网站的人,都成为了攻击目标。
03 当国家级武器遇上经济犯罪
iVerify 的研究团队对 Coruna 框架的最终载荷进行了逆向工程,发现了一个令人不安的事实:这套工具的最后一步,不再是监控异见人士或窃取政府机密,而是直接盗窃加密货币。
框架最终会植入一个名为 PlasmaLoader(谷歌追踪为 PLASMAGRID)的加载器,使用 com.apple.assistd 作为标识符伪装成系统进程,并将自身注入到 iOS 中以 root 权限运行的守护进程 powerd 中。
植入的载荷具备以下能力: 扫描设备磁盘上的图片,解码其中的二维码 分析文本内容,搜索 BIP39 助记词序列(加密货币钱包恢复短语) 在 Apple 备忘录中查找“备份短语”、“银行账户”等关键词 针对至少 19 款主流加密货币钱包应用进行钩子注入
被针对的应用名单几乎覆盖了所有主流加密钱包:MetaMask、Phantom、Trust Wallet、Uniswap、Tonkeeper……研究人员的发现更为惊人:除 WhatsApp 之外的所有加密货币钱包都易受攻击。
更可怕的是,载荷内置了动态模块加载机制,可以从 C2 服务器获取并执行任意附加模块。通信数据经过 AES 加密,密钥来自静态字符串的 SHA256 哈希值。当 C2 服务器失效时,植入物会使用种子“lazarus”生成域名算法(DGA),预测生成 15 位的.xyz 域名,并通过 Google 公共 DNS 验证域名活性。
代码中的中文日志字符串和表情符号,以及部分模块中出现的 LLM 生成风格注释,为攻击者的归属提供了线索,但更值得关注的是:这套工具的最终受害者,已经从“特定目标”变成了“任何拥有 iPhone 和加密货币的人”。
04 历史的重演:从 EternalBlue 到 Coruna
对于关注网络安全历史的人来说,这一幕似曾相识。
2017 年,美国国家安全局(NSA)开发的 Windows 漏洞利用工具 EternalBlue(永恒之蓝)被黑客组织“影子经纪人”泄露。NSA 明知这个零日漏洞的存在,却选择不向微软报告,而是在自己的网络行动中利用了它长达数年。
工具泄露后,微软紧急发布补丁,但为时已晚。两个月后,WannaCry 勒索软件席卷全球,利用 EternalBlue 漏洞攻击未打补丁的系统,造成数十亿美元损失。六周后,同一框架被用于 NotPetya 攻击,再后来被整合进 Retefe 银行木马。
iVerify 联合创始人 Rocky Cole 直言不讳: “这是 EternalBlue 事件的重演,只不过这次是在移动设备上。”
唯一不同的是,这一次的泄露渠道可能更为复杂。TechCrunch 曾报道美国国防承包商 L3Harris Trenchant 前负责人 Peter Williams 的案件——他承认窃取了 8 个漏洞利用程序,卖给与俄罗斯政府有联系的中间人,被判七年监禁。检方称,他出售的漏洞能够入侵全球“数百万台计算机和设备”。
这是一个正在蓬勃发展的“二手零日漏洞市场”。 当监控技术公司为了利润将工具出售给越来越多的“合法”客户,当政府开发的武器级漏洞被内部人员窃取倒卖,最终买单的,是每一个普通用户的数字安全。
05 普通用户如何自保?答案令人无奈
面对如此复杂的攻击框架,普通用户该如何应对?
好消息是,苹果已经在后续版本中修复了 Coruna 框架利用的漏洞。iOS 17.3 及以上版本的用户不受影响。 谷歌安全浏览已将所有识别到的恶意域名加入黑名单,保护用户免遭进一步利用。
但坏消息是,对于无法升级到最新系统的旧设备,风险依然存在。iVerify 的建议坦诚得令人心酸:
“每天重启设备。”
这是因为大多数间谍软件攻击缺乏持久性——重启可以清除内存中的感染。但如果用户再次访问恶意网站,设备可能再次被感染。
对于依赖 iPhone 处理工作事务、存储敏感信息、管理加密资产的用户来说,这显然不是一个理想的解决方案。但正如安全专家所言:在没有完整移动安全框架的情况下,这可能是普通用户抵御高级恶意软件的最有效方法。
其他建议包括: 立即将设备更新至最新 iOS 版本(包含已知漏洞补丁) 在无法更新的设备上启用“锁定模式”(Lockdown Mode) 重置通过设备访问的所有在线服务密码 在所有重要账户上启用双因素认证 谨慎点击不明链接,警惕诱导访问的色情或加密货币网站
06 谁该为此负责?
Coruna 事件引发了更深层次的拷问。
“帕尔马尔进程”(Pall Mall Process)——一个旨在规范间谍软件使用的国际自愿框架——正在缓慢推进。商业间谍软件供应商和购买它们的政府一再保证,这些技术只会用于反恐、打击犯罪,仅限于非专制政府使用。
但现实一再证明,一旦间谍软件或漏洞利用能力被售出,对最终用户的控制便随之丧失。
iVerify 在其报告中直言不讳:“中间商不可信赖,间谍软件市场的企业间交易缺乏监管。使用范围越广,泄露的可能性就越大。”
谷歌在其分析报告中强调,他们一直积极参与帕尔马尔进程,致力于建立国际规范和框架,限制这些强大技术的滥用。但规范的形成需要时间,而漏洞的扩散却在加速。
最讽刺的是,正如 iVerify 所指出的:“虽然 iVerify 掌握了一些证据表明该工具是泄露的美国政府框架,但这不应掩盖这样一个事实:这些工具最终会流入市场,并被不法分子肆意利用。”
无论是哪个国家最初开发了这套武器级漏洞框架,今天,它已经落入网络犯罪分子手中,成为了窃取普通人加密货币的工具。
当政府用纳税人的钱打造网络武器,当商业公司为了利润将这些武器贩卖给任何出价者,当内部人员将国家机密卖给外国中间商——最终受害的,永远是最没有能力保护自己的普通用户。
你的 iPhone 里可能没有国家机密,但可能有你辛苦积攒的加密货币、你的银行账户信息、你的私密照片和对话。对于网络犯罪分子来说,这就足够了。
EternalBlue 的历史告诉我们:政府级武器一旦泄露,其危害将持续数年,甚至数十年。 Coruna 的故事才刚刚开始。
本文转载于微信公众号-- 网空闲话 plus
参考资源
1、 https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit
2、 https://iverify.io/press-releases/first-known-mass-ios-attack
