Coruna与DarkSword:iOS高端漏洞利用工具扩散的威胁分析
Coruna和DarkSword代表了当前iOS漏洞利用工具包的最高技术水平,它们的出现及其在不同威胁行为者之间的扩散,显著加剧了针对iOS设备的攻击威胁。这些工具包不再局限于国家级行为体或顶级商业监控供应商,而是逐渐渗透到更广泛的犯罪生态系统中,使得此前仅用于高度针对性行动的复杂攻击能力,如今可能被用于大规模的金融犯罪和更普遍的监控活动。这种扩散趋势对iOS生态系统的安全防护提出了严峻挑战,要求我们对这些工具的技术细节、攻击链和潜在影响进行深入分析。
Coruna技术剖析
Google威胁情报组 (GTIG) 和iVerify的研究人员揭示了Coruna,这是一个高度复杂的iOS漏洞利用工具包。该工具包旨在通过恶意网页内容来入侵iPhone设备。Coruna自2025年开始被追踪,最初由某商业监控供应商的客户用于高度针对性的行动,随后被怀疑是俄罗斯间谍组织UNC6353用于针对乌克兰用户的“水坑攻击”,最终被来自中国的、出于经济动机的威胁行为者UNC6691用于大规模的活动,例如针对加密货币用户的攻击。
攻击链与漏洞利用
Coruna工具包包含五个完整的iOS漏洞利用链和总计23个独立的漏洞利用程序,能够攻击运行iOS 13.0至17.2.1版本的iPhone设备。其核心技术价值在于其全面收集的iOS漏洞利用,其中最先进的利用采用了非公开的利用技术和缓解绕过方法。
攻击通常通过远程代码执行(RCE)开始,利用WebKit中的漏洞。例如,Coruna利用了多个WebKit RCE漏洞,包括CVE-2024-23222(一个类型混淆问题)、CVE-2022-48503、CVE-2023-43000(一个使用后释放问题)和CVE-2023-43010(一个WebKit内存损坏问题)。此外,它还利用了CVE-2023-41974,这是一个内核问题。
在获得WebKit RCE之后,Coruna会进行沙盒逃逸和权限提升。其中包含了复杂的Pointer Authentication Code (PAC) 绕过技术以及多个内核漏洞利用。值得注意的是,Coruna使用的部分内核漏洞利用,如CVE-2023-32434和CVE-2023-38606,是Operation Triangulation中使用的漏洞的更新版本,表明其代码库可能与西方国家的精英框架有关。
Coruna利用一个名为PlasmaLoader(或PLASMAGRID)的stager二进制文件,该文件具有自定义的0xf00dbeef文件头。一旦执行,此加载器会将payload注入到powerd守护进程中。虽然这授予了攻击者root权限,但这种感染通常不具备持久性机制,这意味着设备重启后恶意软件将从内存中清除,需要重新感染。
Payload与目标
成功的Coruna攻击部署的payload通常是信息窃取恶意软件,专门针对加密货币资产。它会扫描Apple备忘录中的BIP39助记词,并在广泛的加密钱包应用程序中设置函数钩子,包括MetaMask、Trust Wallet、Coinbase、Phantom、Exodus等。这表明其最终目标往往是财务收益。
Coruna漏洞利用链中的一些关键漏洞示例:
| CVE ID | 漏洞类型 | 受影响组件 | 描述 | 最初修复版本 |
|---|---|---|---|---|
| CVE-2024-23222 | 类型混淆 | WebKit | 处理恶意制作的网页内容可能导致任意代码执行。 | iOS 17.3 |
| CVE-2023-43000 | 使用后释放 | WebKit | 处理恶意制作的网页内容可能导致内存损坏。 | iOS 16.6 |
| CVE-2023-43010 | 内存损坏 | WebKit | 处理恶意制作的网页内容可能导致内存损坏。 | iOS 17.2 |
| CVE-2023-41974 | 内核问题 | Kernel | 恶意应用程序可能以内核权限执行任意代码。 | iOS 17 |
| CVE-2023-32434 | 内核漏洞 | Kernel | 用于Operation Triangulation的更新版本漏洞利用。 | iOS 16.5.1 |
| CVE-2023-38606 | 内核漏洞 | Kernel | 用于Operation Triangulation的更新版本漏洞利用。 | iOS 16.6 |
缓解措施
针对Coruna的防御措施包括立即将iOS设备更新到最新版本,因为该工具包对已更新的设备无效。此外,每天重启设备可以清除注入到powerd守护进程中的恶意代码,因为它缺乏持久性机制。启用“锁定模式”(Lockdown Mode)也是一种有效的防护,因为Coruna工具包被编程为在检测到锁定模式时终止其攻击,以避免被发现。
DarkSword技术剖析
DarkSword是GTIG、Lookout和iVerify于2025年11月首次发现并分析的另一个高端iOS漏洞利用链。与Coruna类似,DarkSword也被多个商业监控供应商和疑似国家支持的威胁行为者所采用,并在沙特阿拉伯、土耳其、马来西亚和乌克兰等地观察到针对性攻击活动。值得注意的是,曾使用Coruna的UNC6353组织近期也已将DarkSword整合到其“水坑攻击”活动中,这表明两个工具包可能在某些威胁行为者之间共享或流通。
纯JavaScript攻击链
DarkSword的一个显著特点是,其整个漏洞利用链和最终payload都纯粹使用JavaScript编写。这种方法允许攻击者完全在Web上下文中执行恶意逻辑,从而显著降低了检测难度并增加了灵活性。尽管需要更复杂的机制来在JavaScript与本地API和IPC通道之间进行桥接,但它避免了绕过页面保护机制(Page Protection Layer, PPL)漏洞的需求。
漏洞详情与利用流程
DarkSword利用了六个不同的漏洞来完全入侵受感染的iOS设备,其中三个是零日漏洞。它支持iOS 18.4到18.7版本的设备。其攻击链通常遵循以下阶段:
- 远程代码执行 (RCE): DarkSword利用JavaScriptCore(WebKit和Safari浏览器使用的JavaScript引擎)中的内存损坏漏洞来实现RCE。
- 对于iOS 18.6之前的版本,使用CVE-2025-31277,这是一个JIT优化/类型混淆错误。
- 对于iOS 18.6-18.7版本,使用CVE-2025-43529,这是一个JavaScriptCore的Data Flow Graph (DFG) JIT层中的垃圾回收错误。
fakeobj/addrof原语,并在其之上构建任意读/写原语。它们直接与CVE-2026-20700链式利用,该漏洞是dyld中的一个错误,用作用户模式Pointer Authentication Codes (PAC) 绕过,以执行任意代码。 - 沙盒逃逸 (Sandbox Escape): Safari被设计为使用多个沙盒层来隔离浏览器组件。DarkSword使用两个独立的沙盒逃逸漏洞。首先,它从WebContent沙盒枢转到GPU进程。其次,它从GPU进程枢转到
mediaplaybackd。其中一个关键漏洞是CVE-2025-14174,这是一个ANGLE中的越界内存操作漏洞,允许在GPU进程中执行任意代码。 - 权限提升 (Privilege Escalation): 最终阶段涉及通过两个iOS内核漏洞(CVE-2025-43510和CVE-2025-43520)实现权限提升,从而授予攻击者对设备的完全控制。
DarkSword漏洞利用链中的关键漏洞:
| CVE ID | 漏洞类型 | 受影响组件 | 描述 | 状态 |
|---|---|---|---|---|
| CVE-2025-31277 | 内存损坏 (JIT优化/类型混淆) | JavaScriptCore | 导致RCE,针对iOS < 18.6。 | 已修补 (iOS 18.6) |
| CVE-2025-43529 | 内存损坏 (GC bug) | JavaScriptCore (DFG JIT) | 导致RCE,针对iOS 18.6-18.7。 | 已修补 (iOS 18.7.3, 26.2) |
| CVE-2026-20700 | 内存损坏 / PAC绕过 | dyld | 用户模式PAC绕过,用于任意代码执行。 | 零日漏洞,已修补 (iOS 26.3) |
| CVE-2025-14174 | 越界内存操作 | ANGLE | 导致WebContent沙盒逃逸到GPU进程。 | 已修补 (iOS 18.7.3, 26.2) |
| CVE-2025-43510 | 内核漏洞 | iOS Kernel | 权限提升。 | 已修补 (iOS 26.3) |
| CVE-2025-43520 | 内核漏洞 | iOS Kernel | 权限提升。 | 已修补 (iOS 26.3) |
Payload与"闪电战"策略
DarkSword部署的最终payload包括GHOSTBLADE、GHOSTKNIFE和GHOSTSABER等恶意软件家族,这些都是JavaScript编写的数据窃取器。DarkSword采用“闪电战”(hit-and-run)策略,在成功入侵后,会迅速收集并窃取大量敏感数据,包括短信/iMessage、WhatsApp/Telegram聊天记录、电子邮件、保存的凭据、iCloud文件、笔记、照片、加密货币钱包信息、WiFi凭据、位置历史、通话记录、Safari cookies和浏览历史、已安装应用程序列表、保存的密码以及来自Telegram和WhatsApp的消息历史。它特别针对主要的加密货币交易所(如Coinbase、Binance、Kraken)和钱包应用程序(如Ledger、Trezor、Metamask)。数据窃取通常在数秒或数分钟内完成,随后清除痕迹以规避检测。
扩散与GitHub泄露的威胁
DarkSword的发现进一步证实了iOS高端漏洞利用工具在网络犯罪生态系统中的扩散趋势。更令人担忧的是,DarkSword的一个版本被泄露到GitHub上,这可能导致精英级别的iPhone黑客技术被“民主化”,从而使更广泛的攻击者能够利用这些工具,潜在地威胁到数亿运行iOS 18设备的iPhone用户。
缓解措施
为了防范DarkSword的威胁,用户应立即将设备更新到最新的iOS版本(≥18.7.3 或 ≥26.3),因为Apple已为DarkSword利用的所有漏洞发布了补丁。对于高风险用户,启用“锁定模式”也能提供额外的保护。
iOS高端漏洞利用工具的共性与演进
Coruna和DarkSword的案例揭示了iOS高端漏洞利用工具的几个共性特征和演进趋势:
- 多阶段攻击链: 这类工具通常采用复杂的攻击链,从初始的WebKit/JavaScriptCore RCE开始,逐步进行沙盒逃逸、PAC绕过,最终实现内核级别的权限提升,从而获得对设备的完全控制。
- 主要攻击面: WebKit和JavaScriptCore仍然是iOS设备上远程攻击的高价值入口点,因为它们处理来自不可信源的复杂内容。
- 沙盒逃逸的关键性: iOS的沙盒机制旨在隔离应用程序,限制其对系统资源的访问。因此,沙盒逃逸是高级漏洞利用链中不可或缺的环节,允许恶意代码突破初始的受限环境,访问其他进程或系统组件。
- 利用零日漏洞和未知技术: 高端漏洞利用工具往往依赖于零日漏洞(在供应商未知或未修复之前被利用的漏洞)以及非公开的利用技术和缓解绕过。
- 代码质量与复杂性: 这些工具的代码库通常由专业团队开发,具有高度的工程化和复杂性,包含详细的内部文档和注释。
- 扩散趋势: 商业监控供应商和国家级行为体开发的先进攻击能力正在通过“二手”零日漏洞市场扩散到更广泛的威胁行为者手中,包括出于经济动机的犯罪组织。这使得先进的移动攻击不再是少数精英攻击者的专属。
- Payload多样化: 除了传统的间谍软件功能外,针对加密货币钱包等高价值金融资产的信息窃取已成为这些工具的一个重要目标。
- 规避检测机制: DarkSword的纯JavaScript方法论,以及“闪电战”的数据窃取和清理策略,都旨在最大程度地规避检测,降低驻留时间。
这些工具的扩散强调了持续更新设备、启用强化安全功能(如锁定模式)以及部署多层移动安全防御的重要性。对iOS漏洞利用的深入技术理解对于构建弹性防御至关重要。