iOS攻擊工具包Coruna曝光 23漏洞鎖定舊版系統用戶

Google威脅情報小組（GTIG）近期發布報告，揭露名為「Coruna」的iOS漏洞攻擊工具包，該工具包針對iOS 13.0至17.2.1版本內的23種安全漏洞發動攻擊。研究人員於2026年2月首次發現此工具包，當時由商業監控軟體供應商的客戶使用，隨後在夏季被俄羅斯間諜組織用於針對烏克蘭用戶的「水坑式攻擊」，年底更被中國網路犯罪分子部署於虛假金融網站。這項發現揭示了一個橫跨監控產業、國家駭客與財務詐騙集團的漏洞利用供應鏈，對全球數百萬尚未更新系統的iPhone用戶構成嚴重威脅。

工程設計精良 自動識別裝置精準打擊

Coruna工具包展現出極高的技術成熟度，被GTIG形容為公開文獻中記載最完整的iOS攻擊框架之一。其運作機制相當細緻，當使用者透過iPhone瀏覽受感染的網站時，惡意程式會立即執行裝置指紋辨識，準確判斷手機型號、硬體規格與軟體版本，再從23種攻擊模式中挑選最適合的漏洞組合進行精準打擊。這種自動化選擇機制讓攻擊成功率大幅提升，涵蓋了從2019年發布的iOS 13到2023年底的iOS 17.2.1，時間跨度長達四年，影響範圍極為廣泛。

更值得警惕的是，開發者採用了多層次混淆技術來規避資安偵測。攻擊代碼不僅使用高強度加密演算法保護，更搭配開發者自創的客製化資料格式，使得傳統的封包攔截與靜態分析幾乎無法破解。GTIG在逆向工程過程中發現，程式碼內竟包含詳盡的英文說明文件，清楚標註各項功能與使用方法，顯示這並非臨時拼湊的攻擊腳本，而是經過長期開發與維護的專業級武器。此外，工具包內建多項未曾公開的攻擊技術，部分手法甚至能繞過Apple近期的緩解措施，凸顯其技術領先地位。

橫跨三大洲的漏洞供應鏈 監控商間諜與罪犯共用武器

Coruna工具包的流通軌跡勾勒出全球地下漏洞市場的冰山一角。GTIG的追蹤顯示，2026年2月首次捕捉到該工具包蹤跡時，使用者是某家商業監控軟體供應商的客戶，這類公司通常以合法名義販售間諜軟體給政府機構，但實際用途往往引發爭議。僅隔數月，同一套框架竟出現在俄羅斯駭客組織針對烏克蘭民間人士的水坑式攻擊中，攻擊者入侵經常造訪的新聞與社群網站，伺機感染目標裝置。

到了2026年底，Coruna的用途再度轉變，這次落入位於中國的財務犯罪集團手中。該集團大規模架設偽裝成金融服務與加密貨幣交易平台的釣魚網站，誘騙用戶上鉤。GTIG坦言，目前無法確定工具包在不同攻擊者之間的傳遞途徑，可能透過地下論壇交易、中間商撮合，或是原始開發者直接授權。這種「二手零日漏洞」的流通模式尤其危險，因為單一漏洞的價值被最大化利用，且追蹤難度遠高於傳統的單一組織攻擊。

鎖定加密貨幣與金融資料 備忘錄助記詞成為搜刮目標

Coruna的攻擊目標極具針對性，主要瞄準使用者的數位資產與金融資訊。工具包能夠植入18種不同的加密貨幣應用程式，竊取錢包登入憑證與私鑰資料。其惡意負載具備從磁碟映像檔解碼QR碼的能力，這代表即使使用者將錢包備份以圖片形式儲存，也難逃被竊取的命運。

更細緻的是，工具包內建自然語言分析模組，會自動掃描裝置內的文本內容，搜尋符合BIP39詞組序列的單字組合。BIP39是加密貨幣錢包常用的助記詞標準，由12至24個英文單字組成，一旦外洩等同於交出資產控制權。攻擊程式還會尋找「備份短語」、「銀行帳戶」、「密碼」等特定關鍵字，甚至深入檢查Apple備忘錄應用程式，因為許多使用者習慣將助記詞記錄在內建筆記工具中。這種地毯式搜索能力，讓未啟用額外防護的用戶幾乎無所遁形。

鎖定模式成為有效防線 系統更新刻不容緩

面對Coruna的威脅，Apple內建的鎖定模式（Lockdown Mode）展現出驚人的防禦效果。GTIG分析發現，工具包在執行攻擊前會先偵測裝置是否啟用此模式，一旦發現鎖定模式開啟，便會主動終止所有惡意行為。這項設計顯示攻擊者深知鎖定模式會關閉多項攻擊面，不願浪費資源暴露漏洞特徵。對於人權工作者、記者、政治人物等高風險族群，這無疑是強而有力的保護機制。

然而，一般使用者更應立即採取行動。由於Coruna對iOS 17.2.1之後的版本完全無效，更新至最新iOS系統是最根本的解決方案。許多用戶因擔心耗電、介面改變或習慣舊版功能而延遲更新，卻忽略了暴露在已知漏洞下的風險。資安專家強烈建議，所有iPhone用戶應檢查系統版本，若仍停留在17.2.1或更早版本，務必立即升級。同時，對於可能成為特定目標的個人，啟用鎖定模式雖會限制部分App功能，卻能換取最高等級的安全保障，在當前威脅情勢下值得認真考慮。