iOS用户又一次被盯上了。
Kaspersky最新代码级分析直指,最近曝光的Coruna iOS exploit kit里那两个关键内核exploit,其实就是2023年Operation Triangulation用过的同一套代码的升级版。不是简单拼凑的公开漏洞,而是同一个框架在持续维护和扩展。
Coruna最早由Google和iVerify本月初披露,针对运行iOS 13.0到17.2.1的iPhone机型。它打包了5条完整exploit链,总共23个exploit。其中就包括CVE-2023-32434和CVE-2023-38606,这俩当年在三角行动里当零日用过。
Kaspersky GReAT的Boris Larin说得清楚,单纯共享漏洞不能证明同一作者,但代码层面对比后,内核部分明显出自同一人之手。Coruna还额外塞了四个内核exploit,全都建立在同一个内核利用框架上,共享大量通用代码。
更狠的是,代码里直接支持A17、M3、M3 Pro、M3 Max这些新处理器,还检查iOS 17.2和16.5 beta 4版本。后者正是当年三角行动四个漏洞全被打补丁的节点,而17.2检查则是为了适配新exploit。
攻击流程简单粗暴。用户一访问被攻陷的Safari网站,stager先指纹浏览器和系统版本,再扔出匹配的exploit。payload接着跑起来,触发内核exploit,加载Mach-O,启动恶意软件发射器。
发射器负责后续所有事:掉落最终implant,清理痕迹,避免取证。整个过程模块化强,复用起来特别方便。
这套东西最早是精准间谍工具,现在却被俄罗斯关联的国家行为者拿去在乌克兰搞watering hole攻击,还被拿来在中国假赌博和加密货币网站上搞大规模投毒,交付一种叫PlasmaLoader的数据窃取恶意软件。
从商业监控客户手里流出后,迅速扩散到不同玩家手里。原本针对高价值目标,现在变成不挑食的 mass exploitation。数百万没及时打补丁的设备直接暴露风险。
Kaspersky强调,Coruna不是东拼西凑的货色,它是原三角行动框架的活化石,不断迭代。开发者还在往里加对新硬件和新iOS构建的支持,这说明维护没停。
与此同时,另一个iOS exploit kit DarkSword的新版已经在GitHub泄露。业界担心,这会让更多普通攻击者拿到高级能力,把曾经的精英工具变成大众化武器。
眼下市场波动明显,BTC现报$68,840(24h -2.77%),ETH现报$2,068(24h -3.70%),不少人还在假赌博和加密网站上冲。结果一不小心点进去,手机就可能被无声无息接管,钱包、聊天记录、定位全丢。
苹果针对老版本iOS已经发出安全更新,专门修Coruna用到的WebKit漏洞。但现实是,大量用户设备还停在易受攻击的版本上。
这事提醒所有人,iOS再怎么封闭,exploit kit一旦从高端间谍圈流向犯罪市场,后果就是全民买单。代码复用门槛低,扩散速度快,下一波攻击说不定已经在路上。
开发者把间谍框架改造成赚钱工具,攻击面从特定目标扩大到普通网民。清理痕迹做得干净,普通用户根本察觉不到手机已被植入后门。
安全研究者预计,鉴于模块化和易复用性,很快会有更多威胁行为者把Coruna或类似东西塞进自己的工具箱。iPhone用户现在最该做的,就是赶紧检查系统版本,打开自动更新,别再拖着老系统不升级。
加密圈子里,假网站钓鱼本来就多,现在再叠加这种零点击级别的iOS攻击,风险直接翻倍。手机就是第二钱包,丢了可不是小事。