Google 威脅研究人員表示,他們發現一款新的漏洞利用工具包(exploit kit)正針對 Apple iPhone 用戶發動攻擊,目標是竊取加密貨幣錢包助記詞(seed phrase)。
漏洞利用工具包 Coruna
這款工具包被開發者命名為 「Coruna」。Google 威脅情報小組(Google Threat Intelligence Group,GTIG)在周三發布的報告中指出,該工具包可攻擊 iOS 13.0 至 iOS 17.2.1 的裝置,包含 5 條完整的 iOS 漏洞利用鏈與共 23 個漏洞,其中部分漏洞此前從未公開。
GTIG 表示,他們在 2025 年 2 月首次發現 Coruna。最初,該工具被追蹤到由疑似俄羅斯間諜組織用於針對烏克蘭目標發動攻擊。之後研究人員又發現,該漏洞工具後續又被整合到偽造的中國加密貨幣網站中,用於竊取用戶資產。
GTIG 強調,最新版本的 iOS 不受此漏洞影響,並建議 iPhone 用戶盡快更新系統。如果無法更新,建議啟用 Apple 的 「鎖定模式(Lockdown Mode)」,以抵禦高度複雜的網路攻擊。
偽造網站成主要攻擊管道
研究人員指出,最初發現的攻擊案例中,攻擊者會先透過網站中的 JavaScript 程式識別使用者的裝置資訊,例如 iPhone 型號與 iOS 版本,再根據裝置情況投放相應的漏洞攻擊程式。
同年稍晚,研究人員在多個 被入侵的烏克蘭網站上發現相同的 JavaScript 框架。這些程式只會向特定地理位置的 iPhone 用戶提供攻擊內容。
到了 2025 年 12 月,GTIG 又發現同樣的攻擊框架出現在大量偽造的中國金融網站上,其中包括一個 冒充加密交易所 WEEX 的網站。
當 iPhone 用戶透過 iOS 裝置訪問這些網站時,該框架會下載漏洞工具包,並開始搜尋裝置中的財務相關資訊。例如,它會掃描簡訊中是否出現 助記詞,或包含「backup phrase」、「bank account」等關鍵字。
此外,Coruna 也會搜尋手機中的熱門加密應用程式,例如 Uniswap 和 MetaMask,試圖提取加密資產或敏感資料。
工具來源引發爭議
GTIG 並未透露最初使用該漏洞工具包的監控公司客戶身份。不過,行動安全公司 iVerify 向《WIRED》表示,這個工具可能由美國政府開發或購買。iVerify 共同創辦人 Rocky Cole 指出:
「這是一個極為複雜的工具,開發成本可能高達數百萬美元,而且其設計特徵與過去被歸因於美國政府的其他模組相似。」
Cole 認為,這可能是首次看到疑似美國政府開發的網路工具被外流並遭敵對勢力與網路犯罪組織利用的案例。
不過,卡巴斯基(Kaspersky) 的首席安全研究員則對此說法持保留態度。他向《The Register》表示,目前公開的技術報告中沒有證據顯示 Coruna 與相關工具存在程式碼重用,因此無法確認其與美國政府有關。
