Google威胁情报小组日前发布报告披露名为 Coruna 的间谍软件,这款间谍软件最初应该是某个国家级黑客团队开发的,但不知道什么原因导致其泄露到网上并开始遭到各路黑客的使用。
Coruna 工具包含 5 条完整的 iOS 漏洞利用链条,合计涉及 23 个安全漏洞,其中最复杂的是利用非公开技术和漏洞缓解绕过措施,针对的 iOS 版本则是 iOS 13.0~iOS 17.2.1 版。
Google威胁情报小组在 2025 年 2 月份首次观察到与 Coruna 漏洞利用工具包相关的活动,此次攻击活动被归因于某个商业监控供应商的客户 (客户下单并由供应商辅助发起攻击)。
当时研究人员获得 JavaScript 交付框架以及针对 CVE-2024-23222 的漏洞利用程序,CVE-2024-23222 是个 WebKit 漏洞,允许攻击者在 iOS 17.2.1 版上执行远程代码,苹果在 iOS 17.3 版中修复了该漏洞。
相关的漏洞还牵涉到针对卡巴斯基的三角测量攻击,三角测量是一场极其复杂的攻击,当时卡巴斯基实验室的多名员工使用的 iOS 设备被植入恶意软件并实施监控。
现在这些漏洞都已经修复,所以 Coruna 工具只能针对 iOS 17.2.1 及以下版本发起攻击,然而现实中确实有诸多用户不愿意升级或者 iOS 设备已经不支持后续的新版本而没能升级。
所以现在部分处于经济利益的黑客团体开始利用 Coruna 工具发起攻击,这些黑客的目的极其单一,主要就是窃取用户相册中的加密货币钱包助记词,也就是专注于窃取加密货币。
其流程是这样的:
广泛撒网或针对加密货币领域活跃的用户发起攻击,待目标用户感染 Coruna 恶意软件后,该恶意软件会扫描用户相册并识别是否有助记词类的照片。
如果有则直接将包含助记词的照片上传到 C2 服务器,黑客对用户保存的其他照片不感兴趣,所以没有助记词的话至少目前没发现黑客还会窃取用户照片发起勒索。
这又得说起加密货币领域的安全规则:
无论如何都不应该将钱包助记词截图保存到相册,也不应该将手写的助记词拍照保存到相册,对于助记词最佳安全实践是手写到纸上保存在家里 (最好手写多份)。
只有物理隔断助记词的访问才能确保安全性,将助记词拍照保存到手机、上传到网盘都是非常不靠谱的做法,而使用过时的 iOS 版本则会放大攻击面。