漏洞利用套件Coruna鎖定舊版iOS裝置弱點，多組人馬用於實際攻擊活動

國家級駭客、間諜軟體開發公司鎖定蘋果行動裝置，挖掘零時差漏洞並利用的情況，不時有事故傳出，然而近期有一套iOS漏洞利用套件的揭露受到高度關注，原因在於該套件一口氣囊括超過20個漏洞，並能串連成多個完整的漏洞利用鏈，且被多組人馬用於實際攻擊活動，而格外引人注目。

Google威脅情報團隊（GTIG）揭露名為Coruna的iOS漏洞利用工具包，可利用23種已知資安漏洞，並串連出5種完整的漏洞利用攻擊鏈，能針對執行iOS 13.0至17.2.1（分別於2019年9月及2023年12月推出）的iPhone發動攻擊。GTIG強調，此套件的核心價值在於對iOS漏洞的廣泛利用，並採用了非公開的利用技術來繞過相關緩解措施。

針對此工具包的發現過程，GTIG起初是在2025年2月，看到間諜軟體的客戶用於高度針對性的攻擊活動，後續俄羅斯駭客UNC6353（APT29、Cozy Bear、SVR）於7月，使用該工具包植入烏克蘭網站，對當地的企業組織發動水坑式攻擊。到了去年12月，以經濟利益為動機的中國駭客團體UNC6691將其用於大規模活動，Coruna工具包在大量冒牌金融與加密貨幣網站出現，此時GTIG也取得完整的工具包內容。

雖然該工具包的散布管道並不明朗，不過GTIG認為，這可能代表二手的零時差漏洞在網路犯罪生態圈相當熱門，原本可能屬於政府或商用監控工具的高階漏洞套件，現在落入更多駭客團體手中。除了他們已經確認的資安漏洞，取得該工具包的多個駭客團體也獲得相關的先進漏洞利用技術，駭客可將相關手法稍加調整，並藉此觸發新找到的漏洞。

Coruna的框架本身製作精良，漏洞利用的部分很完整地貼合在框架內，並透過常見的公用程式及漏洞利用框架結合，而且內含大量文件，其中包括以英文撰寫的註解及說明。雖然GTIG已經確認23個資安漏洞，不過他們仍在持續調查，可能還會有其他被利用的漏洞。GTIG提及，有部分漏洞曾被兩個駭客團體Photon、Gallium作為零時差漏洞利用，從事攻擊行動Operation Triangulation。

值得留意的是，該工具包的運作方式相當隱密，因而能避免被使用者察覺，例如，iPhone若是以鎖定模式（Lockdown Mode）運作，或是使用者透過隱私瀏覽（Private Browsing）模式上網，此工具包就會自動停止運作；再者，工具包的資源存取，是根據特定的雜湊值與Cookie，才能產生對應的URL。