Coruna iOS漏洞利用套件鎖定舊版裝置 多組駭客組織發動實際攻擊

Google威脅情報團隊（GTIG）於2025年2月首度發現名為Coruna的iOS漏洞利用工具包，該套件具備23個已知資安漏洞與5條完整攻擊鏈，可針對執行iOS 13.0至17.2.1版本的iPhone裝置發動攻擊。此工具包不僅被間諜軟體客戶用於高度針對性攻擊，更遭俄羅斯國家級駭客組織UNC6353（即APT29、Cozy Bear）與中國經濟犯罪團體UNC6691相繼採用，分別在烏克蘭企業網站植入惡意程式發動水坑攻擊，以及大規模架設偽造金融與加密貨幣詐騙網站。GTIG分析指出，Coruna框架製作精良且附帶完整英文技術文件，顯示其可能源自高階監控工具，並透過地下市場流轉至多個駭客組織手中，成為近年最受關注的iOS攻擊武器之一。

技術架構與攻擊範圍揭露嚴重威脅

Coruna工具包的核心價值在於其對iOS系統漏洞的廣泛利用能力與高度模組化設計。GTIG確認該套件內含23個資安漏洞，這些弱點橫跨iOS 13.0（2019年9月發布）至17.2.1（2023年12月發布）等多個版本，涵蓋權限提升、遠端程式碼執行、沙箱逃逸等關鍵攻擊向量。更為危險的是，這些漏洞可被串聯成5條完整的漏洞利用鏈，意味著駭客無需額外開發即可發動從初始入侵到完全控制裝置的端到端攻擊。

此工具包的技術水準相當突出，其框架設計精良，漏洞利用模組與核心架構緊密整合，並結合常見公用程式與開源攻擊框架進行強化。GTIG特別強調，Coruna採用了非公開的利用技術來繞過蘋果的緩解措施，這些手法並未在一般資安研究社群中公開，顯示開發者具備深厚的iOS系統內部知識。套件內含大量技術文件，所有註解與說明均以英文撰寫，內容詳盡程度堪比商業級攻擊工具，這在地下市場流轉的惡意軟體中相當罕見。

值得注意的是，Coruna的攻擊目標並非僅限於特定地區或產業。從已知的攻擊活動觀察，該工具包同時被用於國家級網路間諜行動與大規模經濟犯罪，顯示其具備高度彈性。GTIG警告，雖然目前確認的23個漏洞均為已知弱點，但調查仍在進行中，可能還有其他未被發現的零時差漏洞隱藏其中。此外，部分漏洞曾被駭客組織Photon與Gallium作為零時差漏洞利用，用於名為「Operation Triangulation」的攻擊行動，這進一步證明Coruna所利用的漏洞具有極高價值。

多組駭客組織接連採用暴露地下供應鏈

Coruna工具包的發現過程揭示了一個令人憂心的趨勢：高階漏洞利用工具正透過地下市場快速擴散。GTIG的追蹤時間線顯示，2025年2月首次觀察到間諜軟體客戶將Coruna用於高度針對性的攻擊活動，這些攻擊目標明確且數量有限，符合典型間諜行動特徵。然而到了7月，情況出現重大轉變，俄羅斯對外情報局（SVR）旗下的駭客組織UNC6353（即知名APT29）開始在烏克蘭多個企業網站植入Coruna，對訪問這些網站的目標發動水坑式攻擊，試圖滲透當地關鍵基礎設施。

攻擊規模在2025年12月進一步擴大，以經濟利益為導向的中國駭客團體UNC6691，將Coruna部署於大量偽造的金融機構與加密貨幣交易平台網站，發動大規模無差別攻擊。這次活動的受害者範圍極廣，GTIG推估影響人數可能達數千甚至數萬人，攻擊目的明確指向金融詐騙與虛擬資產竊取。此時GTIG也成功取得完整的Coruna工具包內容，得以進行深入技術分析。

這三段不同性質的攻擊活動暴露出一個關鍵問題：Coruna的散布管道雖然尚不明朗，但其從國家級駭客流向犯罪集團的軌跡，強烈暗示二手零時差漏洞市場的活絡。GTIG分析師認為，這可能代表原本屬於政府單位或商用監控軟體公司的高階漏洞套件，在失效或部分洩漏後，被轉售至網路犯罪生態圈。這種「軍武級」攻擊工具的平民化現象，使得原本缺乏技術能力的駭客組織也能獲得先進的漏洞利用技術，只需稍加調整即可用於觸發新發現的漏洞，大幅降低攻擊門檻。

隱蔽運作機制與反偵測設計

Coruna工具包之所以能在長達一年的時間內持續活躍，關鍵在於其精密的反偵測與隱蔽運作機制。GTIG技術分析發現，該套件具備環境感知能力，能自動判斷目標裝置的運作狀態並調整行為。最顯著的例子是，當偵測到iPhone處於鎖定模式（Lockdown Mode）或使用者透過隱私瀏覽（Private Browsing）模式上網時，Coruna會自動停止所有惡意活動，避免觸發任何異常警示。

這種設計顯示開發者對蘋果安全機制有深入理解。鎖定模式是蘋果為高風險用戶提供的極端保護措施，會限制多項功能並阻擋多數攻擊向量；隱私瀏覽模式則會限制網站追蹤與資料儲存。Coruna選擇在這些情境下主動退避，不僅降低被發現的機率，也讓受害者難以察覺異常。此外，工具包的資源存取採用雙重驗證機制，必須符合特定的雜湊值與Cookie設定才能產生有效URL，這使得資安研究人員難以透過靜態分析或模擬環境重現攻擊。

GTIG進一步指出，Coruna的網路流量特徵經過精心偽裝，與正常iOS裝置的網路行為高度相似，能躲避多數網路層級的入侵偵測系統。工具包還會定期更新其C2（命令與控制）伺服器位址，並使用加密通訊協定，使得流量分析與威脅追蹤更加困難。這些反偵測技術的整合，讓Coruna成為一款極具韌性的攻擊工具，即使部分基礎設施被曝光，也能快速恢復運作。

資安防護建議與未來威脅展望

面對Coruna這類高階漏洞利用工具包的威脅，GTIG提出多層次防護建議。首先，立即更新iOS系統至最新版本是最根本的防禦措施，Coruna所利用的23個漏洞均已存在修補程式，蘋果在iOS 17.3之後的版本已陸續修復這些弱點。對於高風險族群如記者、異議人士、政府官員等，應常態啟用鎖定模式，雖然會影響使用便利性，但能有效阻擋Coruna等攻擊工具。

企業組織應加強網路流量監控與端點偵測，特別留意異常的JavaScript執行與記憶體操作行為。由於Coruna主要透過水坑攻擊與釣魚網站散播，員工安全意識訓練至關重要，應教育使用者辨識偽造網站並避免點擊不明連結。此外，部署具備零時差攻擊偵測能力的進階威脅防護解決方案，能在系統修補前提供額外保護層。

從更宏觀的角度觀察，Coruna的案例凸顯漏洞利用工具商品化的危險趨勢。過去僅有國家級駭客能掌握的攻擊能力，現在透過地下市場流入犯罪集團手中，這將導致攻擊頻率與規模呈指數級增長。GTIG預測，未來類似的漏洞利用套件將更加普遍，且可能結合人工智慧技術自動化攻擊流程，使得防禦難度進一步提升。資安社群必須加強跨國合作，追蹤漏洞交易流向，並建立更快速的威脅情報共享機制，才能有效遏制此類威脅擴散。