趨勢排行
掌握趨勢,領先排序。

Google示警iPhone用戶 Coruna攻擊套件肆虐 專竊加密貨幣資產

尋光者2026-03-06 07:26
Google安全警報iPhone漏洞Coruna攻擊套件加密貨幣竊盜零點擊攻擊iOS資安威脅私鑰保護行動裝置安全國家級監控工具區塊鏈安全
3/6 (五)AI
AI 摘要
  • Google Threat Analysis Group研究發現,Coruna整合了23個iOS系統漏洞,涵蓋核心權限提升漏洞、Safari瀏覽器渲染引擎缺陷、iMessage零點擊攻擊鏈等關鍵弱點,影響範圍從iOS 14.
  • 這些漏洞的取得成本極高,單一零日漏洞在黑市交易價格可達200萬至500萬美元,整套Coruna套件喊價超過3000萬美元,買家主要為俄羅斯、北韓駭客組織及東歐加密貨幣竊盜集團。
  • Google旗下資安團隊近日發布緊急警報,揭露一款名為「Coruna」的iOS攻擊套件正大規模鎖定全球iPhone使用者,透過23個零日漏洞發動零點擊攻擊,專門竊取加密貨幣錢包私鑰。
  • 這款惡意軟體源自國家級監控工具,現已流入黑市被犯罪集團武器化,攻擊者無需受害者進行任何點擊或下載行為,即可遠端完全控制裝置,直接存取並轉移數位資產。

Google旗下資安團隊近日發布緊急警報,揭露一款名為「Coruna」的iOS攻擊套件正大規模鎖定全球iPhone使用者,透過23個零日漏洞發動零點擊攻擊,專門竊取加密貨幣錢包私鑰。這款惡意軟體源自國家級監控工具,現已流入黑市被犯罪集團武器化,攻擊者無需受害者進行任何點擊或下載行為,即可遠端完全控制裝置,直接存取並轉移數位資產。資安專家指出,此攻擊具備極高隱蔽性,多數受害者在資產被盜前毫無察覺,對持有虛擬貨幣的iPhone用戶構成嚴重威脅。

駭客入侵 iPhone 智慧型手機並竊取加密貨幣資產。

攻擊套件源起與國家級工具黑市流通

Coruna攻擊套件的技術基礎令人震驚,其原始碼可追溯至以色列NSO集團的Pegasus間諜軟體架構,這類原本供政府單位打擊犯罪與反恐的監控工具,因內部人員外流與地下市場高價交易,逐漸落入網路犯罪組織手中。Google Threat Analysis Group研究發現,Coruna整合了23個iOS系統漏洞,涵蓋核心權限提升漏洞Safari瀏覽器渲染引擎缺陷iMessage零點擊攻擊鏈等關鍵弱點,影響範圍從iOS 14.8至最新iOS 16.6版本,顯示攻擊者持續追蹤蘋果更新進行逆向工程。

iPhone 手機螢幕顯示加密貨幣錢包遭惡意程式鎖定竊取

這些漏洞的取得成本極高,單一零日漏洞在黑市交易價格可達200萬至500萬美元,整套Coruna套件喊價超過3000萬美元,買家主要為俄羅斯、北韓駭客組織及東歐加密貨幣竊盜集團。工具包採用模組化設計,包含漏洞探測、權限提升、持久化駐留、資料竊取等獨立元件,犯罪集團可依需求客製攻擊流程。更危險的是,Coruna具備反鑑識機制,可在完成任務後自我刪除,並竄改系統日誌掩蓋入侵痕跡,大幅提升追蹤難度。

零點擊攻擊與私鑰竊取技術解析

零點擊攻擊是Coruna最致命的特徵,傳統釣魚攻擊需誘騙使用者點擊惡意連結,但Coruna透過iMessage漏洞CVE-2023-41064FaceTime協議缺陷,僅需發送特製訊息或撥打未接聽的網路電話,即可觸發記憶體堆積溢出,繞過蘋果的指針認證機制。攻擊成功後,惡意程式碼會在背景以系統層級權限執行,全程無任何視覺提示,使用者完全不會察覺裝置已遭入侵。

iPhone 顯示加密貨幣標誌與藍色數位攻擊程式碼

鎖定加密貨幣是Coruna的核心目標,攻擊程式會主動掃描裝置內安裝的MetaMaskTrust WalletCoinbase Wallet等熱門錢包應用,透過記憶體傾印技術提取解密後的私鑰與助記詞。研究人員發現,Coruna特別針對錢包的剪貼簿監控功能,當使用者複製錢包地址時,惡意程式會自動替換為攻擊者控制的地址,並攔截交易簽名請求。此外,攻擊者還會竊取雲端備份中的錢包檔案,包含iCloud備份的加密金鑰,即使受害者後續更換裝置,攻擊者仍能持續追蹤。

受害規模與隱蔽性威脅評估

根據Google追蹤數據,Coruna活躍攻擊始於2023年第三季,迄今已感染超過1.2萬台iOS裝置,主要集中在北美、西歐與東亞地區,受害對象多為持有價值超過10萬美元加密資產的個人投資者與小型交易所員工。由於攻擊極難偵測,實際數字可能遠高於統計,許多受害者誤以為是自身操作失誤或釣魚網站導致資產損失。

Coruna的隱蔽性體現在三個層面:首先,它會動態注入合法行程,將惡意碼藏在Safari或Mail等系統程序中,躲避行為偵測;其次,網路通訊採用TLS 1.3加密並偽裝成iCloud流量,混雜在正常數據中難以分辨;最後,資產竊取採取低頻率小額轉移,避免觸發交易所異常警報。資安公司CrowdStrike分析指出,平均從感染到發現的時間長達147天,這段期間攻擊者可自由監控與竊取資料。

緊急應變與多層次防護建議

面對Coruna威脅,Google已通報蘋果公司並提供技術細節,蘋果在iOS 16.6.1與iOS 17更新中修補了其中18個漏洞,但仍有5個零日漏洞尚未完全修復。資安專家強烈建議iPhone用戶立即更新至最新iOS版本,並停用iMessage與FaceTime的自動預覽功能,這是阻斷零點擊攻擊鏈的關鍵步驟。

對於加密貨幣持有者,應採取硬體錢包離線儲存作為主要防護,將大部分資產轉移至Ledger或Trezor等冷錢包,僅保留少量交易資金在熱錢包。啟用多簽名驗證時間鎖定交易,即使私鑰遭竊,攻擊者也無法立即轉移資產。此外,定期檢查錢App的權限設定,禁止非必要的剪貼簿存取,並使用獨立裝置專門管理加密資產,與日常通訊手機完全隔離。

企業用戶應部署行動裝置管理(MDM)解決方案,強制執行應用程式白名單與網路流量監控,並教育員工識別社交工程攻擊。交易所與錢包服務商則需導入裝置指紋識別與異常登入偵測,當發現來自已感染裝置的連線時,立即觸發額外身份驗證或暫停交易功能。

產業衝擊與行動安全未來趨勢

Coruna的出現深刻改變行動安全威脅版圖,證明國家級攻擊工具民主化已成事實,犯罪集團不再需要頂尖駭客即可發動精密攻擊。這將迫使蘋果重新評估iOS封閉生態的安全性,可能開放更多底層日誌供資安廠商分析,但也引發隱私爭議。加密貨幣產業則面臨信任危機,投資人開始質疑熱錢包的安全性,推動去中心化身份驗證與社交恢復錢包的技術發展。

未來攻擊將更聚焦於供應鏈滲透,Coruna已出現變種開始偽裝成合法VPN或交易追蹤App,透過App Store審查漏洞上架。資安專家預測,2024年將出現更多結合AI自動化的攻擊套件,能即時分析受害者行為模式,動態調整竊取策略。面對此趨勢,產業必須建立跨平台威脅情報共享機制,並推動區塊鏈交易可逆性技術研究,才能在保障去中心化精神與用戶資產安全間取得平衡。