Google 旗下威脅情報團隊(GTIG)與流動安全公司 iVerify 於 2026 年 3 月 3 日聯合披露一套名為「Coruna」的高階 iOS 漏洞利用工具包。研究人員相信這套工具原為美國政府開發,現已流入俄羅斯間諜組織及中國網絡犯罪分子手中,令逾 42,000 部 iPhone 受感染,是史上已知首宗大規模 iOS 攻擊。
工具包運作方式
Coruna 工具包包含 5 條完整漏洞利用鏈及共 23 個漏洞,覆蓋 iOS 13.0 至 iOS 17.2.1 版本。攻擊者採用「水坑攻擊」(watering hole attack)手法,將隱藏 iFrame 嵌入惡意網站。當 iPhone 用戶瀏覽受感染網頁時,工具包自動偵測裝置型號及 iOS 版本,並選取對應漏洞鏈發動攻擊。
整個過程毋須用戶安裝任何應用程式,即可遠端執行程式碼,繞過 iPhone 記憶體保護及核心層級防護機制。iVerify 研究人員指出,工具不設地區或裝置限制,任何使用舊版 iOS 瀏覽受感染網站用戶均可能中招。
從政府工具到黑市
Google 於 2025 年 2 月首次發現 Coruna 蹤跡,當時由一名監控供應商政府客戶使用。同年 7 月,俄羅斯間諜組織 UNC6353 將工具包植入烏克蘭工業、零售及網購行業網站,針對烏克蘭用戶發動間諜活動。至 2025 年 12 月,中國網絡犯罪組織 UNC6691 透過假冒賭博及加密貨幣網站大規模部署工具,波及逾 42,000 部裝置。iVerify 將此定性為首宗已知大規模 iOS 攻擊。
美國政府淵源疑雲
研究人員根據 3 項線索將 Coruna 與美國政府連結:工具文件以英文母語水平撰寫、程式碼與已知美國黑客工具高度相似,以及整體開發風格專業老練。iVerify 聯合創始人 Rocky Cole 將今次事件比喻為「EternalBlue 時刻」,提醒外界 2017 年 NSA 漏洞工具「EternalBlue」外洩後,最終引發席捲全球 WannaCry 勒索軟件攻擊。iVerify 警告,今次事件說明政府級黑客工具一旦流入非國家行為者手中,將帶來難以預計威脅。
如何保護自己
Apple 已就 Coruna 所利用漏洞推出修補程式,最新版 iOS 完全不受影響,但仍未更新舊版裝置依然面臨風險。iVerify 已免費開放 iVerify Basic 應用程式,讓公眾下載並自行檢測 iPhone 是否受感染,免費期至 2026 年 5 月。用戶應盡快將 iOS 更新至最新版本,是目前最有效防禦措施。
資料來源:Google Cloud、iVerify
分享到 :
最新影片
