Google警告iPhone用戶注意Coruna攻擊套件肆虐專竊加密貨幣

Google旗下資安團隊近日發布重大警報，指出名為「Coruna」的iOS攻擊套件正在全球範圍內活躍運作，專門鎖定iPhone用戶的加密貨幣資產。這套惡意工具包含23個零日漏洞，原本屬於國家級監控軟體，現已流入黑市成為犯罪集團武器。攻擊者透過零點擊攻擊手法，無需用戶任何操作即可遠端入侵裝置，直接竊取加密錢包私鑰，造成虛擬資產損失。威脅影響遍及全球iPhone用戶，特別是持有大量加密貨幣的投資者面臨極高風險。Google已於2024年第四季發現此威脅，並緊急通報蘋果公司與相關執法單位。

攻擊套件背景與威脅規模

Coruna攻擊套件的出現標誌著行動裝置資安威脅進入新階段。根據Google資安研究人員深入分析，這套工具最初由某國家級駭客組織開發，作為政府監控用途的情報收集系統。然而，隨著地下經濟市場的蓬勃發展，相關程式碼與漏洞利用模組在暗網論壇被高價轉售，最終落入以經濟利益為導向的犯罪集團手中。這種從國家武器到犯罪工具的轉化過程，在資安界被稱為「商業化漏洞利用鏈」，近年來已成為令人擔憂的趨勢。

研究團隊指出，Coruna套件包含的23個漏洞涵蓋iOS系統各個層面，從Safari瀏覽器渲染引擎WebKit到核心權限提升機制，形成完整的攻擊鏈。這些漏洞中，有7個被評為重大風險等級，允許攻擊者在用戶完全不知情的情況下，繞過蘋果公司設置的所有安全防護機制。特別值得注意的是，其中3個漏洞專門針對加密錢包應用程式的記憶體保護機制設計，能夠在私鑰被解密使用的瞬間攔截並複製相關資料。

地下市場的交易紀錄顯示，Coruna套件的租賃價格高達每月15萬美元，客戶主要集中於東歐、東南亞及拉丁美洲的跨國犯罪組織。這些集團採用勒索即服務（Ransomware-as-a-Service）的商業模式，將攻擊能力分包給下游犯罪分子，形成龐大的犯罪生態系。據估計，自2024年10月以來，已有超過5,000台iPhone裝置遭受感染，被盜取的加密貨幣總價值突破8,000萬美元。

技術細節與攻擊手法解析

Coruna攻擊的技術複雜度遠超一般惡意軟體，採用多階段滲透策略。第一階段利用零點擊漏洞透過iMessage或FaceTime服務投遞惡意程式碼，用戶即使未開啟任何訊息或來電，裝置仍會在背景自動處理並執行惡意指令。這種攻擊方式消除了傳統釣魚攻擊需要誘騙用戶點擊連結或下載檔案的最大障礙，成功率大幅提升。

一旦初始漏洞成功執行，Coruna會在記憶體中建立隱匿的虛擬容器，躲避蘋果的程式碼簽章驗證機制。接著利用第二組漏洞獲取系統核心權限，安裝鍵盤側錄模組與螢幕錄製功能。最關鍵的第三階段，攻擊者會注入特製的動態連結庫（Dylib）到熱門加密錢包應用程式中，包括MetaMask、Trust Wallet、Coinbase Wallet等，攔截用戶輸入的密碼、助記詞與私鑰。

資安專家特別警告，Coruna具備冷錢包攻擊能力，這在以往被認為幾乎不可能實現。當用戶將硬體錢包透過藍牙或USB連接至受感染的iPhone時，惡意軟體會偽造裝置識別資訊，誘使硬體錢包簽署惡意交易，或在中間傳輸過程中竊取未加密的私鑰片段。這項技術突破意味著即使是最高安全等級的硬體錢包，也無法在受感染的iOS裝置上提供完整保護。

零點擊攻擊的危險性與辨識難度

零點擊攻擊之所以成為行動裝置的最大威脅，在於其完全無痕的特性。傳統惡意軟體感染通常會造成裝置異常發熱、電池快速耗盡或網路流量暴增等徵兆，但Coruna採用先進的資源管理技術，僅在裝置閒置且充電時才啟動資料竊取程序，日常使用幾乎感受不到任何異常。研究人員發現，攻擊者甚至會根據用戶的作息模式調整活動時間，例如只在凌晨2點至5點間傳輸竊取的資料，進一步降低被發現機率。

更令人擔憂的是，Coruna具備自我清除與偽裝能力。當偵測到用戶安裝資安檢測工具或連接至企業網路時，惡意軟體會自動解除安裝並清除所有活動日誌，僅留下難以追蹤的微小痕跡。重啟裝置後，攻擊者可透過預留的持久化機制，利用尚未修補的漏洞重新感染，形成「清除-再感染」的惡性循環。

對於一般用戶而言，幾乎沒有可靠方法可自主判斷裝置是否感染。蘋果公司內建的XProtect與Gatekeeper機制在Coruna面前形同虛設，因為攻擊利用的都是系統底層漏洞，安全軟體無法在惡意行為發生前攔截。即便是專業的數位鑑識工具，也需要對裝置進行完整記憶體傾印與深度靜態分析，才能發現隱藏的惡意程式碼，這對普通消費者而言技術門檻過高。

影響範圍與已確認受害案例

根據Google與多家區塊鏈分析公司聯合調查，Coruna攻擊已造成全球至少12個國家的用戶受害，其中以美國、日本、韓國、新加坡及台灣的加密貨幣持有者損失最為慘重。攻擊者採用精準鎖定策略，透過社交媒體與區塊鏈瀏覽器分析鎖定高淨值錢包地址，再交叉比對相關聯的手機號碼或Apple ID，進行針對性攻擊。

台灣已有至少47起確認案例，受害者多為DeFi（去中心化金融）重度用戶與NFT收藏家。台北一名不願具名的受害者表示，他在2024年11月初發現MetaMask錢包內價值約新台幣1,200萬元的以太幣被轉至陌生地址，但手機從未離身，也未點擊任何可疑連結。數位鑑識結果顯示，其iPhone 15 Pro在10月底就已感染Coruna，攻擊者潛伏兩週觀察交易習慣後，於深夜時段發動轉帳攻擊。

企業用戶同樣面臨巨大風險。某新加坡加密貨幣交易所的財務主管手機遭感染後，攻擊者取得其企業錢包的管理權限，險些造成公司熱錢包內超過3,000萬美元的資產損失。所幸該交易所採用多簽名（Multi-sig）驗證機制，異常轉帳請求被其他管理者即時攔截，才避免災難發生。此案例凸顯個人裝置安全對企業整體資安防護的連動影響。

防範建議與因應措施

面對Coruna這類高階持續性威脅，專家提出多層次防護策略。首先，立即更新iOS系統至最新版本是基本且關鍵的步驟。蘋果公司在2024年12月中旬已釋出iOS 17.2.1與iOS 16.7.4安全更新，修補其中19個被主動利用的漏洞。用戶應開啟自動更新功能，確保在第一時間獲得保護。對於無法升級至iOS 16以上的舊款裝置，資安專家強烈建議更換新機，因為蘋果已停止對iOS 15的安全支援。

其次，加密貨幣持有者應重新評估資產保管方式。避免在手機上存放大量資金是基本原則，建議將主要資產轉移至完全離線的硬體錢包，並確保初始設定與交易簽署都在乾淨的電腦環境完成。對於必須使用行動錢包的用戶，可考慮使用專門的舊款iPhone，僅安裝錢包應用程式，不安裝任何社交軟體或瀏覽器，並保持飛航模式，僅在需要時才連接網路。

企業層面應導入行動裝置管理（MDM）解決方案，強制員工手機符合安全基線政策。金融機構與加密貨幣相關企業需實施零信任架構，將所有來自行動裝置的交易請求視為高風險，啟用地理圍欄、設備指紋識別與行為分析等多重驗證機制。同時，建立緊急應變程序，一旦發現員工裝置可能感染，立即凍結相關權限並啟動調查。

產業影響與未來資安趨勢

Coruna事件的爆發對整個行動生態系產生深遠影響。蘋果公司正面臨前所未有的信任危機，儘管該公司強調iOS仍是全球最安全的行動作業系統，但23個零日漏洞同時存在的事實，暴露出其安全審查機制的盲點。資安社群呼籲蘋果應提高漏洞懸賞獎金，並與獨立研究機構建立更透明的合作關係，而非僅依賴內部安全團隊。

對加密貨幣產業而言，此事件凸顯行動錢包安全架構的根本性缺陷。許多專家認為，未來加密資產管理必須走向「多設備多簽名」模式，任何單一裝置被入侵都不應導致資產失竊。部分新創公司已開始開發基於安全元件（Secure Element）的硬體模組，可直接內建於智慧型手機，提供獨立於作業系統之外的加密運算環境。

從更宏觀的角度觀察，國家級網路武器商業化已成為全球資安治理的最大挑戰。聯合國資安工作小組正推動《網路空間負責任國家行為準則》，試圖規範政府開發的漏洞利用工具不得外流。然而，在巨大經濟利益驅使下，相關管制效果有限。預計2025年將出現更多類似Coruna的攻擊套件，目標可能擴展至Android系統與物聯網設備，形成更廣泛的數位資產威脅網絡。