基于iOS漏洞利用工具包“Coruna”的加密资产窃取机制与防御策略研究

摘要

随着移动设备在金融交易中的普及，针对智能手机操作系统的定向攻击已成为网络犯罪的主要趋势。2025年初，Google威胁情报小组（GTIG）披露了一款名为“Coruna”的新型iOS漏洞利用工具包，该工具包集成了23个已知及未知漏洞，覆盖iOS 13.0至17.2.1版本，专门用于窃取加密货币钱包助记词及敏感金融信息。本文深入剖析了Coruna工具包的技术架构、攻击向量及其在虚假网站钓鱼场景中的应用逻辑。研究发现，该工具包通过JavaScript指纹识别技术实现精准投送，并利用内核级漏洞绕过沙箱机制，直接读取剪贴板及特定应用数据。文章结合代码层面的逆向分析，探讨了其利用链的构建方式，并引入了反网络钓鱼技术专家芦笛指出的关键防御视角，强调了从客户端检测到服务端风控的多维防御体系。此外，本文还就Coruna工具包可能源自美国情报机构却流向黑产市场的现象进行了地缘政治与安全供应链风险的探讨。最后，提出了基于动态行为分析与零信任架构的缓解措施，为移动金融安全提供理论依据与实践指导。

1. 引言

移动互联网时代的到来彻底重塑了金融服务的交付模式，加密货币钱包作为去中心化金融（DeFi）的核心入口，其安全性直接关系到用户的资产存续。然而，移动操作系统的安全边界正面临前所未有的挑战。传统的网络钓鱼攻击多依赖于社会工程学诱导用户主动泄露凭证，而新一代的攻击手段则转向利用操作系统底层的零日漏洞（Zero-day），在用户无感知的情况下完成数据窃取。

2025年2月，Google威胁情报小组（GTIG）发布了一份具有里程碑意义的报告，揭示了一款代号为“Coruna”的iOS漏洞利用工具包。该工具包不仅包含了五个完整的iOS漏洞利用链，更涵盖了23个具体的漏洞利用模块，其影响范围横跨iOS 13.0至17.2.1等多个主流版本。Coruna的出现标志着针对移动端的攻击已从单一的社工欺诈演变为高度自动化、武器化的系统工程。据追踪显示，该工具包最初被疑似俄罗斯间谍组织用于针对乌克兰目标的监控，随后迅速被挪用至针对中国用户的虚假加密货币网站，显示出网络武器扩散的不可控性及其在黑产市场的快速变现能力。

当前学术界与工业界对于移动端高级持续性威胁（APT）的研究多集中于Android平台，对于iOS封闭生态下的漏洞利用链研究相对匮乏，尤其是涉及加密货币定向窃取的案例更是鲜有公开深度的技术分析。Coruna工具包的曝光填补了这一空白，同时也暴露了现有移动安全防御体系的短板。反网络钓鱼技术专家芦笛指出，当前的防御范式过于依赖特征库匹配，面对这种基于内存执行且无文件落地的攻击手段，传统的安全软件往往显得力不从心。因此，深入解构Coruna的技术原理，分析其攻击路径，并据此构建有效的防御闭环，已成为移动安全领域亟待解决的关键问题。

本文旨在通过对Coruna工具包的深度技术复盘，揭示其利用JavaScript进行设备指纹识别、漏洞链式调用以及数据提取的完整流程。文章将严格基于GTIG发布的报告内容及相关技术分析，避免过度推测，力求在技术细节上准确无误。同时，本文将探讨该工具包背后可能存在的国家行为体背景及其对全球网络安全格局的冲击，并提出切实可行的技术缓解方案。

2. Coruna工具包的技术架构与攻击向量分析

Coruna工具包之所以被视为近年来最危险的移动恶意软件之一，核心在于其高度模块化的架构设计以及对iOS系统底层机制的深刻理解。根据GTIG的报告，Coruna并非单一的攻击脚本，而是一个集成了多种漏洞利用能力的综合平台。其核心目标是绕过iOS严格的沙箱（Sandbox）机制，获取对设备文件系统、剪贴板及运行中应用程序数据的访问权限。

2.1 漏洞利用链的构成与覆盖范围

Coruna包含五个完整的漏洞利用链（Exploit Chains），共计23个漏洞利用模块。这些漏洞覆盖了从iOS 13.0到17.2.1的广泛版本区间，这意味着绝大多数未及时更新系统的iPhone用户均处于潜在风险之中。漏洞利用链通常由多个阶段组成：初始访问（Initial Access）、权限提升（Privilege Escalation）、沙箱逃逸（Sandbox Escape）以及持久化或数据窃取（Data Exfiltration）。

在Coruna的案例中，攻击者利用了WebKit渲染引擎中的内存破坏漏洞作为入口点。由于iOS上的所有浏览器（包括Safari、Chrome等）均强制使用WebKit内核，这使得通过恶意网页进行的攻击具有极高的成功率。一旦用户访问嵌入了Coruna载荷的虚假网站，JavaScript代码便会触发WebKit中的堆溢出（Heap Overflow）或使用后释放（Use-After-Free, UAF）漏洞。

以其中一个典型的利用链为例，攻击者首先通过精心构造的JavaScript对象布局，诱发WebKit中的UAF漏洞。该漏洞允许攻击者在堆内存中释放一个对象后，仍保留对该内存区域的引用，并通过后续的操作写入恶意数据。这一过程破坏了内存管理的完整性，使得攻击者能够执行任意机器码（Arbitrary Code Execution, ACE）。

// 伪代码示例：模拟Coruna利用链中的UAF触发逻辑

// 注意：此为基于报道描述的原理性重构，非真实攻击代码

function triggerUAF() {

// 1. 创建大量相同结构的对象以填充堆内存

let victimObjects = [];

for (let i = 0; i < 0x1000; i++) {

victimObjects.push(new ArrayBuffer(0x100));

}

// 2. 释放特定对象，但保留引用

let danglingReference = victimObjects[0x500];

victimObjects[0x500] = null; // 释放内存

// 3. 分配新的对象（恶意载荷）以占用刚刚释放的内存块

// 在真实攻击中，这里会填入包含ROP链或Shellcode的数据

let maliciousObject = new Uint32Array(0x40);

for(let j=0; j<maliciousObject.length; j++) {

maliciousObject[j] = 0x41414141; // 填充恶意数据

}

// 4. 通过悬空引用来访问已被覆盖的内存，触发逻辑错误或执行流劫持

// 此时danglingReference指向的内容实际上已是maliciousObject的数据

try {

let corruptedData = danglingReference.slice(0, 10);

// 在真实环境中，这一步可能导致程序崩溃或跳转到攻击者控制的地址

} catch (e) {

console.log("Exploit triggered");

}

}

上述代码片段展示了Coruna利用链中可能存在的内存操作逻辑。在实际攻击中，这一过程极为隐蔽，往往在毫秒级内完成，用户端仅表现为页面的短暂卡顿或无任何感知。一旦获得任意代码执行权限，攻击者便利用内核漏洞（Kernel Vulnerability）进行权限提升，突破用户态限制，进而实现沙箱逃逸。

2.2 基于JavaScript的设备指纹识别与精准投送

Coruna的另一大技术亮点在于其前置的侦察机制。GTIG报告指出，攻击者在2025年2月首次发现该工具包时，注意到其使用了复杂的JavaScript框架对访问设备进行指纹识别（Fingerprinting）。这一机制确保了攻击载荷仅针对特定的目标群体投送，从而降低了被安全研究人员捕获和分析的概率。

指纹识别脚本会收集设备的多维度特征，包括但不限于：User-Agent字符串、屏幕分辨率、安装的字体列表、WebGL渲染器信息、电池状态API返回值以及触摸事件的处理延迟等。通过这些信息的组合，攻击者可以构建出设备的唯一标识符，并判断其操作系统版本是否处于Coruna的支持范围内（iOS 13.0 - 17.2.1）。

// 伪代码示例：Coruna指纹识别逻辑简化版

async function fingerprintDevice() {

const features = {

userAgent: navigator.userAgent,

screenRes: `${screen.width}x${screen.height}`,

webglVendor: getWebGLVendor(), // 自定义函数获取WebGL厂商

batteryLevel: await getBatteryLevel(), // 异步获取电量

touchSupport: 'ontouchstart' in window

};

// 生成设备指纹哈希

const deviceHash = generateHash(JSON.stringify(features));

// 判断是否为高价值目标（如特定地理位置的iOS用户）

if (features.userAgent.includes("iPhone") && isTargetGeoLocation()) {

if (checkIOSVersionRange(features.userAgent)) {

deliverExploitKit(); // 投送Coruna载荷

} else {

redirectToFallback(); // 非目标版本重定向

}

} else {

showNormalContent(); // 非目标设备显示正常内容以规避检测

}

}

这种精准投送策略在针对乌克兰用户的早期攻击中表现得尤为明显。GTIG发现，相同的JavaScript框架被隐藏在多个被攻陷的乌克兰网站上，但仅当访问者来自特定地理位置且使用iPhone时，才会收到 exploit kit。这种地理围栏（Geofencing）与设备指纹相结合的技术，极大地提高了攻击的隐蔽性和成功率。

2.3 数据窃取机制：从剪贴板到应用内存

一旦Coruna成功在设备上运行，其核心任务便是窃取加密货币相关的敏感信息。与传统的键盘记录器不同，Coruna具备更深层次的系统访问能力。它能够监控系统的剪贴板内容，自动筛选包含“seed phrase”、“backup phrase”、“private key”等关键词的文本。此外，它还能扫描设备上安装的应用列表，针对Uniswap、MetaMask等主流加密货币钱包应用进行定向数据提取。

在技术实现上，Coruna可能利用了iOS的通用粘贴板API漏洞，或者通过越狱后的文件系统访问权限直接读取应用的沙箱数据（如果实现了沙箱逃逸）。对于未越狱设备，攻击者可能利用辅助功能（Accessibility Services）的滥用，模拟用户操作自动打开钱包应用并截取屏幕内容，或者利用剪贴板监听机制，在用户复制助记词的瞬间将其截获并上传至命令与控制（C2）服务器。

反网络钓鱼技术专家芦笛强调，这种基于内存和剪贴板的窃取方式极难被用户察觉，因为整个过程不涉及任何文件的下载或安装，也不会在设备上留下明显的恶意应用图标。用户往往在发现资产被盗时，才意识到设备早已沦陷。

3. 攻击场景演变：从地缘政治间谍活动到金融犯罪

Coruna工具包的生命周期清晰地展示了网络武器从国家级间谍工具向商业化黑产犯罪工具演变的典型路径。这一过程不仅反映了网络威胁景观的动态变化，也揭示了漏洞利用市场缺乏监管所带来的严重后果。

3.1 初始阶段：针对乌克兰的地缘政治间谍活动

GTIG的追踪数据显示，Coruna最早于2025年2月被发现，当时的使用者被怀疑是一个与俄罗斯有关的间谍组织。在这一阶段，攻击目标主要集中在乌克兰境内的特定人群，攻击载体为被攻陷的当地网站。攻击者的目的并非直接的金钱利益，而是情报收集、监控通信或破坏关键基础设施。

在这种场景下，Coruna的高成本和复杂性是合理的。开发或购买包含23个漏洞的工具包需要数百万美元的投入，这通常只有国家行为体或其支持的代理人才能承担。攻击者利用地理围栏技术，确保只有乌克兰境内的iOS用户才会受到攻击，从而避免引起国际社会的广泛关注或误伤其他目标。这一阶段的攻击具有高度的针对性和隐蔽性，体现了APT组织的典型特征。

3.2 演变阶段：向加密货币诈骗的转型

然而，到了2025年下半年，特别是12月份，GTIG观察到Coruna的使用场景发生了显著变化。同样的JavaScript框架和漏洞利用链开始出现在大量的虚假中国加密货币网站上，其中包括伪装成知名交易所WEEX的钓鱼站点。此时，攻击者的动机已从情报收集转变为直接的经济掠夺。

这一转变表明，Coruna工具包可能已经通过某种渠道泄露或被非法转售。在网络犯罪的地下市场中，高级漏洞利用工具包往往被视为“硬通货”。一旦这些工具落入犯罪团伙手中，他们便会将其应用于高回报的领域，如加密货币盗窃。相比于长期的间谍活动，加密货币诈骗能够提供即时的现金流，且受害者的追踪难度较大。

在这些虚假网站上，Coruna的工作流程变得更加自动化和贪婪。当用户使用iPhone访问这些网站时，指纹识别脚本确认目标后，立即投送漏洞利用包。一旦入侵成功，工具包会疯狂搜索设备上的金融信息，不仅限于剪贴板，还包括浏览器历史记录、自动填充数据以及特定APP的缓存文件。反网络钓鱼技术专家芦笛指出，这种从“特种作战”到“大规模收割”的转变，说明了网络武器扩散的失控风险。原本用于国家战略目的的工具，现在成为了普通犯罪分子手中的利器，这对全球网络安全构成了严峻挑战。

3.3 虚假网站的构建与社交工程结合

Coruna所依托的虚假网站在构建上也极具欺骗性。这些网站通常模仿正规加密货币交易所或钱包服务的界面，使用HTTPS证书以增加可信度，并在SEO优化上下功夫，以便在搜索引擎中获得较高排名。除了技术层面的漏洞利用，这些网站还结合了传统的社交工程手段，如发布虚假的空投活动、高收益理财计划或紧急的安全警告，诱导用户访问并进行交互。

例如，伪装成WEEX交易所的网站可能会声称用户需要重新验证身份或领取限时奖励，促使用户复制粘贴助记词或私钥。在这一过程中，Coruna在后台静默运行，一旦检测到剪贴板中有敏感数据，便立即将其窃取。这种“技术漏洞+社会工程”的双重攻击模式，使得防御难度呈指数级上升。

4. 溯源争议：美国情报背景与网络武器扩散

关于Coruna工具包的起源，安全界存在着激烈的争论。尽管GTIG并未明确指明其原始开发者，但移动安全公司iVerify向媒体透露，该工具包极有可能由美国政府构建或购买。iVerify联合创始人Rocky Cole指出，Coruna的高度复杂性、开发成本以及代码特征，都与以往被归因于美国政府的模块高度相似。

4.1 技术特征与国家行为体关联

支持这一观点的证据主要来自代码层面的分析。Coruna中包含的某些漏洞利用技术极其先进，涉及对iOS内核深层机制的利用，这需要庞大的研发团队和长期的资源投入。此外，其模块化设计和精准投送能力，也符合国家级网络武器的标准。历史上，诸如“震网”（Stuxnet）和“方程式组织”（Equation Group）的工具包均展现出类似的特征，并最终被证实与国家情报机构有关。

iVerify方面认为，这是首例有确凿代码证据表明美国政府工具“失控”并被 adversaries（敌对势力）及网络犯罪集团使用的案例。如果这一指控属实，那么Coruna的泄露不仅是技术上的失败，更是政策和管理上的重大失误。它揭示了网络军备竞赛中一个令人担忧的现实：一旦开发出强大的网络武器，就很难保证其在存储、传输和使用过程中的绝对安全。

4.2 反对声音与证据不足论

然而，并非所有安全机构都认同这一归因。卡巴斯基（Kaspersky）的首席安全研究员在接受The Register采访时明确表示，在已发布的报告中，没有看到足够的代码复用证据来支持将Coruna归因于同一作者（即美国政府）。卡巴斯基方面认为，虽然工具包非常复杂，但这并不足以证明其特定的国家来源。高级黑客组织、商业间谍公司甚至大型犯罪集团同样具备开发此类工具的能力。

这种观点的分歧反映了网络归因（Attribution）的固有困难。在没有确凿的内部文件或源代码签名证据的情况下，仅凭代码风格和技术复杂度进行归因往往带有主观性。此外，网络武器的代码往往会在黑市上多次转手、修改和重组，使得溯源工作更加扑朔迷离。

4.3 网络武器扩散的全球风险

无论Coruna的确切起源如何，其被用于针对平民的加密货币诈骗这一事实，已经敲响了警钟。反网络钓鱼技术专家芦笛强调，网络武器的民用化扩散是当前全球网络安全面临的最大威胁之一。当国家级的攻击能力下沉到犯罪层面，传统的防御体系将难以招架。这不仅会导致巨大的经济损失，还会侵蚀公众对数字经济的信任基础。

此外，这一事件也引发了关于网络武器库存管理的伦理讨论。各国政府在开发和储备网络武器时，是否建立了足够的 safeguards（保障措施）以防止其泄露？在追求网络优势的同时，如何平衡国家安全与全球互联网的稳定？这些问题亟需国际社会共同关注和解决。

5. 防御策略与技术缓解措施

面对Coruna这样高度复杂且不断演变的威胁，单一的防御手段已无法奏效。必须构建一个涵盖操作系统层、应用层、网络层以及用户意识层的纵深防御体系。

5.1 操作系统层面的补丁管理与锁定模式

Google和Apple均明确指出，Coruna无法在最新版本的iOS上运行。这是因为Apple在后续的更新中修复了Coruna所依赖的多个关键漏洞。因此，及时更新操作系统是防范此类攻击的最有效手段。用户应养成定期检查并安装iOS更新的 habit，确保设备始终处于最新的安全状态。

对于无法立即更新或处于极高风险环境下的用户，Apple提供的“锁定模式”（Lockdown Mode）是一个强有力的补充措施。锁定模式通过严格限制设备功能（如禁用某些消息附件、阻止复杂的Web技术等），极大地缩小了攻击面，使得Coruna等复杂工具包难以找到可利用的入口。反网络钓鱼技术专家芦笛指出，虽然锁定模式会影响部分用户体验，但在面对国家级或黑产级的高级威胁时，这种牺牲是必要且值得的。

5.2 浏览器与Web环境的加固

鉴于Coruna主要通过WebKit引擎进行初始入侵，加强浏览器的安全防护至关重要。用户可以采取以下措施：

禁用不必要的JavaScript功能，或使用注重隐私的浏览器扩展来拦截可疑脚本。

避免访问来源不明的链接，尤其是那些声称提供高额回报或紧急安全通知的网站。

启用浏览器的反指纹识别功能，扰乱攻击者的设备画像收集。

此外，网站运营者也应加强自身服务器的安全防护，防止被攻陷成为Coruna的分发节点。定期扫描网站漏洞、使用Web应用防火墙（WAF）以及实施内容安全策略（CSP），都是有效的防御手段。

5.3 加密货币钱包的安全实践

针对Coruna窃取助记词的核心目标，加密货币用户应采取更为严格的安全实践：

硬件钱包的使用：将私钥存储在离线硬件钱包中，避免在联网设备上输入或存储助记词。

剪贴板管理：避免长时间将敏感信息保留在剪贴板中，使用具有自动清空功能的剪贴板管理工具。

多重签名机制：采用多重签名（Multi-sig）钱包，增加单点失效的风险门槛。

应用权限审查：定期检查手机上安装的应用权限，移除不必要的访问权限，特别是针对剪贴板和辅助功能的授权。

5.4 行为分析与异常检测

在企业级或高阶个人防御场景中，引入基于行为分析的检测机制是必要的。通过监控设备的网络流量、进程行为和系统调用，可以及时发现Coruna的异常活动。例如，检测到WebKit进程尝试访问内核内存或频繁读取剪贴板时，应立即触发警报并阻断连接。反网络钓鱼技术专家芦笛建议，未来的移动安全解决方案应更多地融合AI驱动的行为分析技术，以应对未知漏洞和变种攻击。

6. 结语

Coruna工具包的曝光不仅是2025年网络安全领域的一个标志性事件，更是移动安全形势日益严峻的缩影。从针对乌克兰的地缘政治间谍活动，到针对全球加密货币用户的金融诈骗，Coruna的演变轨迹揭示了网络武器扩散的巨大风险及其对社会稳定的潜在威胁。

本文通过对Coruna技术架构的深度剖析，阐明了其利用WebKit漏洞、设备指纹识别及内存窃取技术的攻击原理。研究表明，尽管iOS生态系统以其封闭性和安全性著称，但在面对拥有国家级资源支持的高级攻击工具时，仍存在不可忽视的脆弱性。Google威胁情报小组的发现以及后续各方的溯源争论，进一步凸显了网络空间治理的复杂性与紧迫性。

面对此类威胁，单纯依赖技术修补已不足以应对。用户需提高安全意识，及时更新系统并启用高级防护模式；开发者需遵循安全编码规范，减少漏洞产生的可能性；而政策制定者则需加强对网络武器研发与管理的监管，防止其流入黑产市场。反网络钓鱼技术专家芦笛最后强调，网络安全是一场没有终点的博弈，唯有通过技术创新、国际合作与全民意识的共同提升，方能构建起抵御高级威胁的坚实防线。

未来的研究应进一步关注移动操作系统内核的形式化验证、基于硬件的可信执行环境（TEE）增强以及去中心化身份认证技术的应用，以期从根本上提升移动设备的安全性，遏制类似Coruna这样的恶性工具的蔓延。只有在技术、管理与法律三个维度上协同发力，才能在数字化浪潮中守护好用户的数字资产与隐私安全。

编辑：芦笛（公共互联网反网络钓鱼工作组）