Google揭露致命iOS漏洞工具包Coruna 23種攻擊鎖定模式成防禦關鍵

Google威脅情報小組（GTIG）2024年3月發佈報告，揭露名為「Coruna」的iOS漏洞攻擊工具包，該工具包針對iOS 13.0至17.2.1版本內的23種漏洞發動攻擊。研究發現這項工具在監控軟體供應商客戶、俄羅斯間諜組織與中國網路犯罪分子之間形成複雜的供應鏈擴散。值得注意的是，Apple的鎖定模式（Lockdown Mode）能有效阻擋所有攻擊，當工具包偵測到該模式啟用時會自動放棄入侵。這份報告指出，全球使用舊版iOS的iPhone用戶皆面臨資安風險，特別是持有加密貨幣資產的金融用戶更需提高警覺。

漏洞工具包的全球擴散途徑與供應鏈分析

Coruna工具包的流傳路徑呈現出現代網路武器擴散的典型模式，其影響範圍橫跨商業監控、國家級間諜活動與純粹財務犯罪三個層面。根據GTIG的追蹤調查，這套工具最早於2024年2月在商業監控軟體供應商的客戶端被首次發現，顯示其最初可能作為高價值的軍火級產品在灰色市場流通。到了同年夏季，同一個攻擊框架竟出現在疑似俄羅斯間諜組織針對烏克蘭用戶的「水坑式攻擊」中，攻擊者將惡意程式碼植入特定網站，等待目標對象上鉤。這種攻擊型態的轉變，暗示著工具包已從商業用途轉向地緣政治對抗。

更令人憂心的是，2024年底GTIG觀察到一個位於中國的攻擊團體大規模部署Coruna，但這次的攻擊動機純粹為財務利益。該團體將工具包植入大量偽造的金融與加密貨幣交易網站，誘騙用戶瀏覽後自動觸發漏洞攻擊。這種從國家級間諜工具淪為普通網路犯罪武器的降級過程，凸顯出零日漏洞二手市場的活躍程度。GTIG研究人員坦言，目前尚不清楚Coruna在不同攻擊者之間的確切流傳機制，但這種跨國界、跨犯罪類型的擴散模式，強烈暗示存在一個結構化的地下交易網絡，專門將高階攻擊工具轉售給不同層級的買家。這種「武器民主化」現象讓原本需要高度技術能力的攻擊，變得連普通網路犯罪集團也能執行。

工程設計精良的攻擊手法與識別機制

Coruna工具包被資安專家形容為工程設計極其精良的數位武器，其攻擊流程展現出高度的自動化與適應性。當使用者透過iPhone瀏覽受感染的惡意網站時，工具包會在毫秒間完成裝置指紋識別，精準判斷目標的iPhone型號、硬體規格與軟體版本，然後從23種漏洞中挑選最適合該特定裝置的攻擊組合。這種「量身訂做」的攻擊策略大幅提高成功率，同時降低被安全機制偵測的風險。工具包的程式碼採用多層次混淆技術，包括強大的加密演算法與開發者自創的客製化資料格式，使得安全研究人員即使攔截到流量，也難以在短時間內解析其運作邏輯。

根據GTIG的逆向工程分析，Coruna的原始碼中竟包含詳盡的英文技術說明文件，這在地下開發的惡意軟體中相當罕見，顯示其開發團隊具備專業軟體工程背景，甚至可能來自合法資安公司的內部人員。更值得注意的是，工具包採用了多項此前從未公開的攻擊技術，這些零日漏洞不僅繞過Apple的傳統防護機制，更能躲避現代沙箱分析環境的偵測。研究人員特別強調，Coruna的攻擊代碼在執行前會先檢查裝置是否啟用鎖定模式，一旦偵測到該模式處於開啟狀態，整個攻擊流程會立即中止並自我清理痕跡。這種「知難而退」的設計，暗示開發者深知鎖定模式的防護強度，選擇將資源集中在更容易得手的目標上。

加密貨幣與金融數據成主要攻擊目標

Coruna工具包的攻擊目標設定展現出明確的財務導向，其惡意負載專門針對加密貨幣錢包與金融敏感資料進行精準打擊。研究人員發現，該工具包能夠植入並竄改至少18種主流加密貨幣應用程式，包括比特幣、以太坊等熱門錢包，藉此竊取使用者的私鑰、助記詞與交易憑證。更先進的是，其惡意模組能從磁碟映像檔中解碼QR碼，這意味著即使用戶將錢包備份以圖片形式儲存，也難逃被盜取的命運。工具包內建自然語言處理功能，可分析網頁與文件中的文字區塊，主動搜尋符合BIP39標準的助記詞序列，或如「備份短語」、「銀行帳戶」、「信用卡號」等特定關鍵字。

最令人震驚的是，Coruna會主動掃描使用者裝置上的Apple備忘錄（Notes）應用程式，尋找用戶可能記錄的常見助記詞或密碼。這種深度入侵行為打破了iOS應用程式沙箱的隔離原則，顯示工具包具備極高的系統權限。GTIG警告，任何仍在使用iOS 17.2.1或更早版本的用戶都處於風險之中，因為Coruna對iOS 17.3之後的版本完全無效。這也間接證明Apple在最新版本中已悄悄修補了相關漏洞，只是未公開承認。對於持有數位資產的用戶而言，這種攻擊的威脅性特別巨大，因為一旦助記詞被竊，攻擊者就能完全控制錢包且交易無法逆轉。許多用戶習慣將備份資訊存放在手機備忘錄或截圖保存，這些日常習慣在Coruna面前都成為致命的資安缺口。

鎖定模式成為有效防禦屏障與使用者因應建議

Apple在iOS 16中推出的鎖定模式（Lockdown Mode）原本被視為極端情況下的防護選項，主要保護可能面臨國家級間諜軟體攻擊的人權工作者、記者與政治人物。然而Coruna的出現證明，鎖定模式對抗商業級漏洞工具包同樣有效。當工具包偵測到鎖定模式啟用時，會立即停止攻擊並退出，這種行為模式顯示攻擊者將時間成本與被發現風險納入考量。鎖定模式透過限制JavaScript即時編譯、阻擋不明來源的設定檔安裝、停用部分字體渲染等功能，恰好切斷了Coruna依賴的多項攻擊路徑。這種「以簡馭繁」的防禦策略，反而比複雜的偵測機制更有效。

對於一般用戶，GTIG提出明確的因應建議：首要之務是立即將iOS更新至17.3以上版本，這能從根本上阻斷Coruna的攻擊鏈。若因裝置老舊無法更新，則強烈建議啟用鎖定模式作為過渡防護。雖然鎖定模式會限制部分功能，如即時照片共享、部分遊戲中心的體驗，但這些不便遠低於資產被盜的損失。此外，用戶應避免點擊來路不明的金融網站連結，特別是宣稱提供高額回報的加密貨幣平台。資安專家也呼籲，切勿將助記詞或密碼以任何形式儲存在連網裝置上，應使用硬體錢包或離線紙本備份。企業IT部門則應考慮將鎖定模式納入行動裝置管理（MDM）政策，強制高風險員工啟用。這起事件也提醒Apple需要更透明地揭露漏洞修補資訊，讓用戶瞭解更新的重要性，而非僅以「安全性更新」輕描淡寫帶過。