Google 的威脅情報小組與安全公司 iVerify 近日分享了有關 Coruna 的詳細資訊,這是一種利用多個漏洞的攻擊工具,專門針對運行舊版 iOS 的 iPhone。以下是相關細節。
根據 Wired 的報導,Google Cloud Blog 今日發佈的文章揭露了名為 Coruna 的攻擊工具的細節。該工具利用了五條完整的 iOS 漏洞鏈和 23 種漏洞,旨在攻擊運行 iOS 13 至 iOS 17.2.1 的未修補 iPhone。從宏觀上來看,Coruna 攻擊工具通過鏈接多個漏洞,逐步突破 iPhone 的安全層級。
當用戶訪問一個惡意網站時,該網站會使用隱藏的 JavaScript 檢查設備型號、系統版本及其他安全設置。攻擊可以採取多種路徑來繞過 iOS 的核心保護,獲取高級權限,並安裝能夠收集數據或下載其他模組的惡意軟件。值得注意的是,Google 指出該攻擊會檢查設備是否啟用了鎖定模式,若啟用則會中止過程,或者用戶處於私人瀏覽模式下也會中止。
需要強調的是,該攻擊工具專門針對運行舊版 iOS 的 iPhone,對最新的系統版本無效。這也是保持設備更新的重要原因之一。對於 Coruna 的工作原理以及針對每個 iOS 發佈版本的完整漏洞列表(及其 CVE,若有的話),可參閱 Google Cloud Blog 的完整文章。
除了 Google 的報導外,移動安全公司 iVerify 也發表了有關 Coruna 的報告,提供了其可能來源的進一步背景。根據其對該框架的逆向工程分析,iVerify 表示 Coruna 顯然是基於已知的美國政府黑客工具所構建。
iVerify 的報告指出:「這是首次觀察到有犯罪團體利用可能由國家級實體開發的工具對移動電話(包括 iOS)進行大規模攻擊。」他們提到,儘管 Coruna 的根源似乎與其他美國政府相關的黑客工具有共同之處,但它在某個階段似乎已經洩漏,並被俄羅斯間諜和中國網絡犯罪分子部署於各類攻擊活動中。
去年的多份報告顯示,間諜軟件的目標已經超越了預期的民間社會對象,如記者和異議人士,擴展至科技和金融服務的高管、政治運動及其他有影響力的人士或擁有特權訪問權限的人。使用越廣泛,洩漏的可能性就越高。
在觀察到的攻擊活動中,iVerify 和 Google 表示該攻擊工具是通過對受損網站的「水坑攻擊」來傳遞的,包括假冒的加密貨幣服務,旨在吸引受害者訪問惡意頁面。在這些活動中,最終的載荷似乎是出於財務動機,模組設計用於從受感染設備中提取加密貨幣錢包數據和恢復短語。
如需閱讀 iVerify 的完整報告,請點擊此鏈接。
