根据卡巴斯基的最新研究结果,最近曝光的苹果 iOS 漏洞利用工具包Coruna中使用的两个安全漏洞的内核漏洞利用程序,是 2023 年“三角行动(Operation Triangulation)”中使用的同一漏洞利用程序的更新版本。
“当 Coruna 漏洞首次被报道时,公开证据不足以将其代码与 Triangulation 联系起来——仅凭共同的漏洞并不能证明共同的作者身份。”卡巴斯基 GReAT 的首席安全研究员在一份声明中说。
“Coruna并非公开漏洞的拼凑;它是对原始Operation Triangulation框架的持续维护和演进。它包含了对M3等新型处理器和更新版iOS系统的检查,表明原开发者一直在积极扩展该代码库。最初作为精准间谍工具,如今已被广泛部署。”
本月早些时候,谷歌和 iVerify首次记录了Coruna 漏洞,该漏洞针对的是运行 iOS 版本 13.0 到 17.2.1 之间的苹果 iPhone 机型。
虽然该工具包最早于去年年初被一家未具名的监控公司的客户使用,但此后,疑似与俄罗斯结盟的国家行为体利用该工具包在乌克兰发动水坑攻击,并在大规模攻击活动中利用一系列假冒赌博网站和加密货币网站来传播一种名为 PlasmaLoader(又名 PLASMAGRID)的数据窃取恶意软件。
该漏洞利用工具包包含五个完整的 iOS 漏洞利用链和总共 23 个漏洞利用程序,其中包括 CVE-2023-32434 和 CVE-2023-38606,这两个漏洞最初在“三角行动”(Operation Triangulation)中被用作0day漏洞武器。
“三角行动(Operation Triangulation)”是一项针对 iOS 设备的复杂攻击活动,涉及利用苹果移动操作系统中的四个漏洞。
卡巴斯基实验室的最新研究结果表明,Triangulation 和 Coruna 两款漏洞利用程序中的内核漏洞均出自同一作者之手,其中 Coruna 还使用了另外四个内核漏洞。这家俄罗斯安全厂商表示,所有这些漏洞都基于相同的内核漏洞利用框架,并共享部分代码。
具体来说,该代码支持苹果的 A17、M3、M3 Pro 和 M3 Max 处理器,并包含对 iOS 17.2 和 iOS 16.5 beta 4 的检查。iOS 16.5 beta 4 修复了“三角行动”(Operation Triangulation)中被利用的全部四个漏洞。卡巴斯基表示,对 iOS 17.2 的检查则是为了应对更新的漏洞利用。
攻击的起点是用户使用 Safari 浏览器访问被入侵的网站,这会导致预先部署的程序对浏览器进行指纹识别,并根据浏览器和操作系统版本投放相应的漏洞利用程序。这反过来又为执行有效载荷铺平了道路,该有效载荷会触发内核漏洞利用。
卡巴斯基表示:“下载必要组件后,有效载荷开始执行内核漏洞利用程序、Mach-O 加载器和恶意软件启动器。有效载荷会根据固件版本、CPU 以及是否存在 iokit-open-service 权限来选择合适的 Mach-O 加载器。”
启动器是主要的协调器,负责启动后渗透活动,利用内核漏洞投放并执行最终植入程序。它还会清理渗透痕迹,以掩盖取证踪迹。
卡巴斯基表示:“该框架最初是为网络间谍活动而开发的,现在已被更广泛的网络犯罪分子利用,使数百万未打补丁的设备用户面临风险。鉴于其模块化设计和易于重用,我们预计其他威胁组织也会开始将其纳入攻击策略中。”
就在iPhone漏洞利用工具包DarkSword新版本在GitHub上泄露之际,这一进展引发了人们的担忧:它可能使更多攻击者拥有更强大的设备入侵能力,从而将原本的精英黑客工具转变为大规模攻击框架。
技术报告:
《Coruna:三角测量行动中使用的框架》
https://securelist.com/coruna-framework-updated-operation-triangulation-exploit/119228/
新闻链接:
https://thehackernews.com/2026/03/coruna-ios-kit-reuses-2023.html
10个月宝宝每天需要喝多少奶粉?
