iOS漏洞利用套件Coruna調查有新發現！可追溯到3年前的攻擊Operation Triangulation

資安公司卡巴斯基本週發布調查報告指出，Coruna的使用可追溯到他們2023年揭露的網路間諜活動Operation Triangulation。他們比對Coruna利用CVE-2023-32434與CVE-2023-38606的核心程式碼，確認Coruna是3年前Triangulation行動採用攻擊工具的升級版本。而且，他們發現Coruna有4個漏洞，是當時卡巴斯基發現攻擊行動後，駭客將其加入漏洞工具包，並用於同一起活動。

另一方面，卡巴斯基發現所有的漏洞利用模組，都共用部分程式碼，且由相同的核心攻擊框架開發而成。類似的漏洞利用程式碼，也出現在Coruna的其他元件。這些發現代表開發者採取統一的方式設計，漏洞利用套件並非拼湊而成，因此卡巴斯基認為，Google發現的Coruna顯然3年前就存在，駭客在Operation Triangulation已經開始使用。

在攻擊流程上，Coruna主要透過Safari排版引擎WebKit的漏洞作為入口，先進行裝置指紋識別，再依iOS版本動態選擇對應的遠端程式碼執行（RCE）弱點與繞過機制，接著下載並解密後續有效酬載，最終取得作業系統核心層的控制權。

在分析漏洞利用工具及比對相似性的過程，卡巴斯基發現，其中一個漏洞利用鏈是Operation Triangulation的更新版本，其中有部分機制的調整引起他們的注意，例如：增加對2023年12月推出的iOS 17.2的檢查，加入2023年推出的新處理器的偵測機制，這些處理器的型號是A17、M3、M3 Pro、M3 Max。此外，駭客也加入特定的測試版（iOS 16.5 Beta 4）的偵測機制，理由是蘋果在接獲卡巴斯基通報後修補了特定漏洞。

上述情況不合理的地方在於，駭客同時檢查新舊不同版本的作業系統，也偵測較新的處理器，不過，既然漏洞在攻擊工具舊版已修補，新版工具再偵測同樣不含舊漏洞的新版作業系統，顯然多此一舉。會出現這種現象的原因，就在於駭客使用相同的程式碼開發漏洞利用工具，部分檢查機制是為了針對新漏洞加入，並在舊版工具重新編譯時出現。

對此，卡巴斯基認為，有鑑於Coruna的模組化設計，並能被輕易重複利用，將會有更多駭客加入利用的行列。該公司呼籲，使用者應該及時套用最新的安全更新，來防範這類漏洞利用套件的攻擊。