Google 詳細介紹 iPhone 漏洞套件 Coruna 成為加密錢包與 iOS 安全的新威脅

谷歌研究人員揭露了一個先進的iPhone漏洞套件，該套件自2025年以來已在多個攻擊行動中被使用，並已成為加密貨幣攻擊者的重要武器。

谷歌曝光Coruna框架及其iOS能力

根據谷歌威脅情報小組的最新報告，一個名為Coruna的強大漏洞框架正針對iPhone用戶，利用一系列複雜的漏洞鏈進行攻擊。該工具包包含五個完整的iOS漏洞鏈和23個不同的漏洞，能夠攻破運行iOS 13至iOS 17.2.1的設備。

這個iPhone漏洞套件使攻擊者能夠通過網頁內容執行惡意代碼，利用Apple的WebKit瀏覽器引擎和其他核心組件的漏洞。此外，一旦受害者打開被入侵的網站，該框架會立即辨識設備，確定具體的iPhone型號和已安裝的軟體版本，然後選擇最有效的漏洞鏈進行攻擊。

研究人員解釋，獲得初步存取權後，惡意軟體可以傳送後續載荷，以收集高度敏感的資料，包括加密貨幣錢包資訊、財務資料及其他私人記錄，這些資料可以用來變現或在後續攻擊中濫用。

從假冒加密貨幣網站到大規模資料收集

在多次觀察到的攻擊行動中，Coruna框架是通過專門設計來誘騙iPhone用戶的假冒賭博和加密貨幣網站部署的。然而，攻擊者也嘗試使用其他具有特定主題的登陸頁面，以擴大潛在受害者範圍，同時仍然專注於數字資產持有者。

惡意載荷能夠掃描設備上的圖像和文件，尋找特定關鍵詞，如“備份短語”或“銀行帳戶”。這使得威脅行為者能夠自動識別錢包恢復短語和其他金融資料，甚至可能直接存取受害者的加密貨幣錢包和銀行帳戶。

一旦恢復短語或其他秘密被竊取，犯罪分子便能在幾乎不被察覺的情況下將資金轉出受害錢包。此外，這些收集到的資料還可以轉售給其他網路犯罪集團，進一步擴大潛在影響。

從監控到國家級和網路犯罪用途的演變

谷歌的調查顯示，Coruna工具集並非純粹來自犯罪圈。它首次出現在2025年的針對性監控行動中，當時操作人員似乎專注於監控特定個人，而非大規模盜取資金。

然而，隨著時間推移，這個iPhone漏洞套件逐漸轉向更具攻擊性和地緣政治敏感的行動。後來在對烏克蘭用戶的watering-hole攻擊中被觀察到，研究人員懷疑這與俄羅斯的間諜組織有關。在這些行動中，被入侵的網站被用來釋放Coruna驅動的漏洞。

最終，這個漏洞套件被與中國有關的經濟動機駭客採用，標誌著從傳統間諜活動向明顯追求利益的網路犯罪轉變。此外，這一演變也顯示，用於情報收集的工具一旦洩露或被分享，就可能迅速滲透到更廣泛的犯罪生態系統中。

手機間諜軟體遷移與加密風險的案例研究

安全分析師指出，Coruna展現了網路威脅格局中的一個更廣泛趨勢。高階間諜級漏洞框架正逐漸從政府或商業監控市場轉向主流的網路犯罪。這種手機間諜軟體的遷移模糊了國家級工具與普通犯罪集團使用工具之間的界線。

由於現代智能手機經常存儲數字資產錢包、認證應用和個人文件，這些工具直接使大規模的加密貨幣錢包盜竊成為可能。此外，手機安全風險與加密貨幣目標的融合，使任何未修補的iOS設備，只要存有數字資產，都成為有吸引力的攻擊對象。

單一框架中多個iOS漏洞鏈的存在，也引發了重用的擔憂。一旦某個攻擊者獲得Coruna，就能將其用於新的攻擊行動，只需調整誘餌網站或載荷，而基本的漏洞利用邏輯則大致保持不變。

緩解措施與iOS更新的重要性

研究人員強調，保持設備使用最新的iOS版本是最有效的防禦措施之一。根據谷歌的說法，Coruna框架無法對抗最新的軟體版本，這些版本已修補了被利用的漏洞。然而，許多用戶延遲更新，導致較舊的iPhone長時間暴露在風險中。

專家建議，iPhone用戶應在安全補丁發布後立即安裝，避免在筆記應用或圖像文件中輸入恢復短語或銀行資料，並在訪問不熟悉的賭博或加密相關網站時保持謹慎。高風險組織還應考慮使用移動威脅偵測工具和更嚴格的企業瀏覽政策。

從更廣泛的角度來看，Coruna攻擊鏈以WebKit為核心的特性凸顯出單一瀏覽器漏洞就能開啟完整設備入侵的大門。此外，也強調了廠商快速協調修補和用戶迅速採用的重要性。

移動安全與數字資產日益交織

Coruna案例突顯了移動作業系統安全與數字資產保護之間的緊密聯繫。隨著越來越多的人依賴智能手機管理加密貨幣、訊息和銀行業務，任何先進的iPhone漏洞套件都直接影響資金安全。

總結來說，谷歌追蹤的攻擊歷史顯示，一個工具包可以從2025年的針對性監控，逐步演變為國家級水坑攻擊，最終轉變為追求利益的盜竊行動。此外，也提醒防禦者應假設類似的框架已在流通，並優先進行快速更新、加密錢包資料的安全存儲以及持續監控移動威脅。