Coruna工具外流 四萬兩千支iPhone被攻擊 舊版iOS用戶風險最高

安全研究人員近日揭露，一套名為「Coruna」的政府級駭客工具已遭外流，並被網路犯罪份子廣泛濫用於攻擊iPhone用戶。這起事件於2025年2月首次被Google團隊發現，受影響裝置至少達四萬兩千支，主要為運行iOS 13至17.2.1版本的舊款iPhone。攻擊者透過惡意網站發動水坑攻擊，利用23個零時差漏洞繞過蘋果防禦機制，無需安裝任何應用程式即可遠端執行程式碼。儘管蘋果已修補相關漏洞，但未及時更新的裝置仍面臨嚴重威脅，凸顯政府監控工具擴散至非國家行為者的重大資安隱憂。

政府級攻擊工具大規模擴散

這起資安事件的嚴重性在於攻擊工具的來源與擴散路徑。根據Google威脅分析小組的調查報告，Coruna工具最初由美國政府監控供應商開發，專門提供給政府客戶用於合法監控任務。然而，這些高度精密的攻擊框架在2025年初開始出現在外部網路犯罪生態系中，最終落入俄羅斯情報機構與中國駭客組織手中。

iVerify資安公司的追蹤數據顯示，這套工具的外流並非單一事件，而是經過多次轉手。研究人員發現，Coruna的原始碼結構與美國國家安全局（NSA）先前開發的攻擊工具存在高度相似性，包括程式碼註解的英語母語水平、專業的模組化設計架構，以及獨特的漏洞利用鏈組合方式。這些特徵強烈暗示該工具與美國政府存在直接關聯，可能是透過承包商外洩或內部人員竊取而流出。

工具擴散的速度令人震驚。從2025年2月首次在暗網論壇發現交易紀錄，到3月初已出現大規模攻擊活動，整個過程不到一個月。這種快速擴散現象反映出，當代駭客工具一旦脫離政府管控，其傳播速度遠超過傳統資安威脅。更危險的是，Coruna具備完整的攻擊套件，包括偵查模組、漏洞利用引擎、後門植入程式與資料竊取元件，讓中階駭客也能執行國家級攻擊。

零時差漏洞鏈與水坑攻擊手法

Coruna工具的技術核心在於其23個零時差漏洞的組合利用。這些漏洞涵蓋iOS系統的多個層級，從Safari瀏覽器的WebKit引擎、核心權限提升到硬體層面的記憶體管理缺陷。攻擊者透過精心設計的漏洞利用鏈，能夠在受害者毫無察覺的情況下，僅需瀏覽惡意網站即完成整個入侵流程。

水坑攻擊的實施方式極具隱蔽性。駭客首先入侵目標族群經常造訪的合法網站，植入惡意JavaScript程式碼。當iPhone用戶使用Safari瀏覽這些網站時，程式碼會自動偵測裝置的iOS版本，並投送對應的漏洞利用套件。整個過程無需使用者安裝任何應用程式，也不會出現系統提示或權限要求，完全在背景靜默執行。

研究人員分析指出，Coruna的攻擊流程分為三階段。第一階段利用WebKit漏洞突破Safari的沙箱限制，獲得初步執行權限；第二階段透過iOS核心漏洞提升權限至系統層級；第三階段植入持久性後門，並建立加密通訊通道回傳竊取的資料。這套流程的效率極高，從使用者開啟惡意網頁到完成入侵，平均僅需8至12秒。

特別值得注意的是，Coruna針對不同iOS版本採用差異化攻擊策略。對於iOS 13至15的舊裝置，主要利用已公開但使用者未修補的漏洞；對於iOS 16至17.2.1的新版本，則使用更先進的零時差漏洞。這種分層攻擊設計確保工具能在最長時間內保持有效性，也解釋了為何受影響範圍如此廣泛。

全球受害規模與攻擊目標分析

根據iVerify與Google的聯合調查，目前已確認的受害者至少四萬兩千名，實際數字可能遠高於此。這些攻擊呈現明顯的地緣政治特徵，主要分為兩大活動群集。第一群集由俄羅斯駭客組織操作，專門針對烏克蘭政府官員、軍事人員與記者，目的在於竊取戰略情報與破壞基礎設施。第二群集則由中國網路犯罪集團主導，採用大規模無差別攻擊，主要目標為商業機密與個人金融資訊。

受害裝置的地理分布顯示，烏克蘭佔總攻擊量的37%，其次是中國境內的18%，其餘則分散在東南亞、中東與歐洲地區。這種分布模式與工具外流後的持有者背景高度吻合。中國駭客組織的攻擊特別激進，他們不僅使用Coruna進行間諜活動，還將其整合到勒索軟體即服務（RaaS）平台，向其他犯罪集團提供iPhone入侵服務。

受害者的裝置特徵分析揭示殘酷現實：超過85%的受感染裝置運行iOS 16以前的版本。這些用戶或因裝置老舊無法更新，或因忽略系統更新提示，成為攻擊者的首要目標。研究人員從被竊取的資料中發現，包含大量未加密的通訊紀錄、定位資訊、照片庫與密碼檔案。部分受害者的數位錢包私鑰也遭竊取，造成直接經濟損失。

企業用戶同樣面臨重大風險。調查發現，約12%的受害裝置屬於企業配發手機，這些裝置通常安裝了行動裝置管理（MDM）系統，但Coruna能繞過多數MDM的防護機制。一旦企業手機被入侵，攻擊者可進一步橫向移動至公司內網，造成更大規模的資料外洩。

工具溯源與美國政府關聯證據

研究人員將Coruna與美國政府框架聯繫起來的證據相當充分。首先是文件與註解的語言特徵，所有技術文件均以美式英語撰寫，使用大量政府合約常見的術語與格式規範。程式碼註解中出現的縮寫與代號，與愛德華·史諾登先前揭露的NSA內部文件高度相似。

其次是程式碼相似性分析。iVerify使用二進制比對工具發現，Coruna的核心漏洞利用模組與2017年外洩的NSA「永恆之藍」（EternalBlue）工具在結構上有47%的程式碼重疊。雖然經過現代化改寫，但獨特的錯誤處理機制與加密通訊協定的實作方式，顯示出相同的開發思維與技術傳承。

第三是開發風格的專業性。Coruna採用模組化架構，具備完整的版本控制、自動更新與反偵測機制。這種企業級軟體工程水準在駭客工具中極為罕見，通常只有獲得充足資金與時間的政府專案才能達到。工具還包含詳細的使用日誌與效能監控功能，這些都是政府採購合約中常見的要求項目。

Google研究人員特別指出，Coruna的漏洞利用鏈設計展現出對iOS內部架構的深刻理解，這種層級的知識通常需要長期研究與大量資源投入。部分漏洞的利用方式與蘋果官方安全白皮書描述的理論攻擊模式驚人相似，暗示開發者可能接觸過蘋果內部資訊或參與過相關安全研究計畫。

蘋果修補措施與用戶防護建議

面對Coruna威脅，蘋果公司已於2025年3月初緊急釋出iOS 17.4.1與iPadOS 17.4.1安全更新，修補了其中14個關鍵漏洞。對於無法升級至iOS 17的舊裝置，蘋果也罕見地為iOS 15與iOS 16系列提供獨立安全修補程式。然而，修補程式的安裝率令人擔憂，截至3月底，僅有38%的符合升級條件裝置完成更新。

資安專家強烈建議，所有iPhone用戶應立即檢查系統版本，並升級至iOS 17.4.1或以上版本。對於iPhone 8以前的機型，雖然無法升級至iOS 17，也應確保安裝最新的iOS 15.8.3或16.7.7修補程式。企業IT部門需要緊急盤點所有iOS裝置，強制執行安全更新政策，並考慮暫時限制員工瀏覽非必要網站。

除了系統更新，用戶應啟用iPhone的「封閉模式」（Lockdown Mode）。此模式雖然會限制部分網頁功能，但能有效阻擋Coruna這類依賴複雜網頁技術的攻擊。同時建議關閉Safari的JavaScript自動執行功能，或使用Firefox Focus等注重隱私的瀏覽器作為替代方案。

對於可能已遭感染的裝置，iVerify提供免費檢測工具，可掃描系統日誌中的異常特徵。若發現感染跡象，唯一安全的處理方式是完整清除裝置並重新安裝系統，單純刪除應用程式或重置設定無法移除深度植入的後門。用戶也應立即更改所有儲存在iCloud鑰匙圈中的密碼，並啟用雙因素認證。

產業影響與未來資安挑戰

Coruna事件對全球資安產業造成深遠影響。首先，它打破了iOS系統相對安全的神話。長期以來，蘋果以其封閉生態系與嚴格審查機制，塑造出iPhone難以被駭的形象。然而，Coruna證明只要有足夠資源，任何系統都存在被突破的可能。這將迫使蘋果重新評估其安全獎勵計畫的規模，並可能改變對資安研究社群的資訊分享政策。

其次，政府工具擴散問題成為國際關注焦點。聯合國裁軍研究所已將此事件列為「數位武器擴散」的典型案例，呼籲各國建立更嚴格的出口管制與內部監管機制。美國國會議員要求情報機構說明Coruna外流的具體原因，並檢討與承包商之間的安全協議。歐盟則考慮將此類工具納入《雙重用途規範》的管制範圍。

對於企業而言，行動裝置安全策略必須升級。傳統依賴MDM與容器化技術的防護方案，在面對Coruna這類零時差攻擊時效果有限。資安長（CISO）需要考慮導入行為分析與零信任架構，將行動裝置視為不可信端點，限制其對企業核心資源的存取權限。同時，加強員工資安意識訓練，特別是識別水坑攻擊的徵兆，成為不可或缺的環節。

長遠來看，Coruna預示著攻擊即服務（AaaS）商業模式的進化。過去這類服務主要針對Windows與Android平台，現在已擴展至iOS生態系。這意味著未來將有更多不具備技術能力的犯罪集團，能夠以租賃方式取得頂級攻擊工具，導致攻擊頻率與規模呈指數級增長。資安產業必須加速發展自動化威脅偵測與響應機制，才能應對這種新型態的威脅。