Coruna 间谍软件活动持续扩散，苹果破例为旧版iOS设备推送双版本安全补丁

苹果公司发布了 iOS 15.8.7 和 iOS 16.7.15。这两个针对旧款 iPhone 的紧急补丁，修复了攻击者在名为 "Coruna" 的间谍软件活动中利用的几个已知漏洞。

苹果通常不会透露 iOS 更新修复了哪些问题，以便让 iPhone 用户有尽可能多的时间进行更新，防止攻击者获取详细信息。

然而，iPhone 制造商在 iOS 15.8.7 和 iOS 16.7.15 中破例，并在两套发行说明中指出，该修复与 Coruna 漏洞有关。

关于 iOS 16.7.15 和 iPadOS 16.7.15 的安全内容： iPhone 8、iPhone 8 Plus、iPhone X、第五代 iPad、9.7 英寸 iPad Pro 和第一代 12.9 英寸 iPad Pro

iOS 16.7.15 和 iPadOS 16.7.15 中修复的问题，在对应版本的官方支持页面上有明确说明。苹果公司将已修复的漏洞描述为 WebKit（Safari 浏览器底层引擎）中的一个问题，漏洞编号为 CVE-2023-43010。如果用户处理恶意构造的网页内容，攻击者可以利用这个漏洞导致内存损坏。

https://support.apple.com/en-us/126646

关于 iOS 15.8.7 和 iPadOS 15.8.7 的安全内容：iPhone 6s（所有型号）、iPhone 7（所有型号）、iPhone SE（第一代）、iPad Air 2、iPad mini（第四代）和 iPod touch（第七代）

iOS 15.8.7 和 iPadOS 15.8.7 中修复了多个错误，包含 iOS 操作系统核心内核中的一个缺陷，以及 WebKit 中的三个漏洞。

该内核漏洞（编号为 CVE-2023-41974）可能允许应用程序以内核权限执行任意代码。苹果在其支持页面上写道："与 Coruna 漏洞相关的修复程序已于 2023 年 9 月 18 日随 iOS 17 一起发布。本次更新将该修复程序带给无法更新到最新 iOS 版本的设备。"

WebKit 相关的三个漏洞修复详情如下：

漏洞编号 CVE-2024-23222：可能导致任意代码执行。"与 Coruna 漏洞相关的修复程序已于 2024 年 1 月 22 日在 iOS 17.3 中发布，" 苹果公司表示。
漏洞编号 CVE-2023-43000：修复了处理恶意构造的网页内容时出现内存损坏的漏洞。苹果补充道："与 Coruna 漏洞相关的此修复程序已于 2023 年 7 月 24 日随 iOS 16.6 一起发布。"
漏洞编号 CVE-2023-43010：修复了处理恶意构造的网页内容时出现内存损坏的漏洞。苹果公司表示："与 Coruna 漏洞相关的此修复程序已于 2023 年 12 月 11 日随 iOS 17.2 一起发布。"

iOS 15.8.7 和 iPadOS 15.8.7 更新现已面向 iPhone 6s（所有型号）、iPhone 7（所有型号）、iPhone SE（第一代）、iPad Air 2、iPad mini（第四代）和 iPod touch（第七代）开放。这些设备虽然年代较久远，但并未过时，因此能够获得重要的安全修复。

https://support.apple.com/en-us/126632

苹果公司表示，Coruna 漏洞已在 2023 年 12 月 11 日发布的 iOS 17.2 中修复,此次更新将修复程序带给了无法更新到最新 iOS 版本的设备。

苹果公司面向发布了 iOS 16.7.15 和 iPadOS 16.7.15 更新。

这些设备属于 "经典" 而非 "过时"，因此它们也能收到此类重要的安全更新。

苹果公司针对旧款设备的补丁 "迫在眉睫"，该漏洞无需用户任何操作，"只需用未打补丁的 iPhone 访问网站即可感染病毒，Coruna 漏洞利用了内核和 WebKit 等组件中的多个缺陷，使得恶意网页内容能够触发设备上的代码执行或内存损坏，这种自动化攻击链的使用反映了 "网络行动中一个更广泛的趋势，即复杂的漏洞利用研究被打包成模块化框架，供多个攻击者重复使用"。

在这种情况下，苹果 iOS 系统更新往往是消除利用旧漏洞（未修复的漏洞）的攻击链的唯一可靠方法。"更新设备可以弥补这些漏洞。对于高风险用户而言，即使设备成为攻击目标，硬件安全密钥和强大的多因素身份验证等额外保护措施也能进一步保护账户和敏感数据。"

对于老机型苹果使用者，立即将您的 iPhone 更新至 iOS 15.8.7 或 iOS 16.7.15

Coruna 攻击工具包威力巨大，它允许不同能力的攻击者向你的 iPhone 植入间谍软件。虽然某些用户面临的风险更大，但研究人员发现，Coruna 的目标受众更为广泛，包括金融企业。

还在等什么？立即前往「设置」>「通用」>「软件更新」，将你的老 iPhone机型系统升级到 iOS 15.8.7 或 iOS 16.7.15。

下面黑鸟补充关于Coruna漏洞的工具箱的资源和分析细节情况

本文档描述了用于从#Coruna iOS 漏洞利用工具包中提取加密二进制有效载荷的完整解密流程。

https://github.com/khanhduytran0/coruna/blob/main/ANALYSIS.md

https://github.com/khanhduytran0/coruna/tree/main

Coruna：对国家级 iOS/macOS 水坑漏洞利用链的完整技术拆解

https://github.com/Rat5ak/CORUNA_TECHNICAL_ANALYSIS

https://github.com/Rat5ak/CORUNA_IOS-MACOS_FULL_DUMP/blob/main/coruna-dump.zip

网站可视化分析

https://www.nadsec.online/blog/coruna-technical-analysis#analysis

下面是雨后小故事系列，谨慎阅读，都是口口相传的小故事，不保真：

近日，针对全球 iPhone 用户的大规模黑客攻击事件持续发酵，谷歌安全团队披露的核心入侵工具Coruna ，经多方核心证据交叉验证，其源头直指美国军方顶级承包商L3Harris 旗下的黑客与监控技术部门Trenchant。

这款原本仅限美国及五眼联盟（Five Eyes Alliance） 情报机构专属使用的国家级网络武器，因内部人员叛卖出现致命缺口，先后流入俄罗斯官方黑客组织、全球网络犯罪团伙手中，最终酿成波及数亿 iOS 用户的安全灾难。

Coruna 的身份溯源，有来自核心内部人士的直接证词佐证。两名曾任职于 L3Harris 的匿名前员工证实，Coruna 至少有一部分由该公司旗下 Trenchant 部门开发，二人均深度参与过公司 iPhone 黑客工具相关业务，因未获授权公开发声而选择匿名。

"Coruna 绝对是我们内部一个组件的代号"，其中一名在 Trenchant 任职期间全程参与 iPhone 黑客工具研发的前员工表示，"看到谷歌公布的技术细节，太多内容都太熟悉了"。该人士明确指出，Coruna 及配套的漏洞利用程序，本就是 Trenchant 核心工具包的重要组成部分；另一名前员工也同步证实，已公开的黑客工具包中，多项核心细节均来自 Trenchant。

作为美国军方与情报体系的核心承包商，L3Harris 旗下的 Trenchant 部门，核心业务就是研发高权限黑客与监控技术，且其产品销售范围被严格限定 ------ 仅向美国政府及其五眼联盟情报盟友（澳大利亚、加拿大、新西兰、英国）供应，绝不向第三方主体出售。这也意味着，Coruna 从诞生之初，就是一款专供西方国家情报机构使用的国家级网络武器。

根据谷歌与iVerify 披露的技术参数，Coruna 的设计目标，是入侵运行iOS 13 至 iOS 17.2.1版本的全系列 iPhone 机型，覆盖了 2019 年 9 月至 2023 年 12 月发布的长达 4 年的 iOS 系统版本，具备对全球海量 iPhone 用户实施无感知大规模入侵的能力。

这款仅限五眼联盟内部流通的顶级黑客工具，之所以会彻底失控，核心源头是一场持续数年的内部泄密案，主角正是 Trenchant 前总经理彼得・威廉姆斯（Peter Williams）。

现年 39 岁的澳大利亚公民威廉姆斯，在 2022 年至 2025 年年中辞职期间，利用其对 Trenchant 内部网络的 "完全访问权限"，持续窃取公司旗下的核心黑客工具，并向俄罗斯漏洞中间商Operation Zero出售了 8 款完整工具，最终获利 130 万美元。上月，威廉姆斯正式认罪，被美国法院判处 7 年监禁。

相关阅读：

前情报机构员工与俄罗斯漏洞经纪人交易8个0day漏洞获得数百万美元

售卖漏洞路径：间谍软件公司->内鬼->俄罗斯经纪人->韩国经纪人

美国政府在指控中明确指出，威廉姆斯的行为是对美国及其盟友的彻底 "背叛"，其泄露的工具可让使用者 "潜在访问全球数百万台计算机和设备"，而这些工具所利用的，正是 iOS 等全球主流操作系统的零日漏洞（Zero-day Vulnerability）------ 即受影响厂商尚未知晓、暂无修复补丁的安全漏洞，这与 Coruna 的技术能力、覆盖范围完全匹配。

作为事件的关键中转方，Operation Zero 是俄罗斯顶级的零日漏洞中间商，常年为未公开的安全漏洞开出数百万美元的收购价，其公开声称仅与俄罗斯政府及本土企业合作，已于上月被美国政府正式制裁。美国财政部明确披露，这家俄罗斯公司将威廉姆斯出售的 "被盗工具，转售给了至少一名未授权用户"，彻底打开了武器扩散的潘多拉魔盒。

从 L3Harris 的实验室流出后，Coruna 开启了一场横跨多国情报机构、黑客组织与网络黑产的失控流转，完整路径已通过多方证据逐步还原。

流转的第一站，是俄罗斯官方背景的黑客组织。美国财政部的制裁信息证实，Operation Zero 将威廉姆斯出售的被盗工具，优先交付给了俄罗斯政府相关主体。这也直接解释了谷歌追踪到的、代号为UNC6353的俄罗斯间谍组织，为何能完整掌握 Coruna 工具包 ------ 该组织将其植入被攻陷的乌克兰网站，通过水坑攻击，对特定地理位置的 iPhone 用户实施无感知入侵，用户仅需访问恶意网站，设备就会被完全控制。

紧接着，工具开始向非官方的黑产体系扩散。美国财政部明确披露，Operation Zero 与知名勒索软件团伙Trickbot的核心成员存在合作，直接证实了这家漏洞中间商与牟利型网络犯罪团伙的深度关联。更关键的证据来自美国检方公布的信息：威廉姆斯本人明确认出，自己亲手编写并出售给 Operation Zero 的代码，后续出现在了一名韩国中间商使用的程序中。

至此，这款原本仅限五眼联盟情报机构使用的国家级黑客武器，彻底脱离了管控。从俄罗斯官方高级持续性威胁（Advanced Persistent Threat, APT） 组织，到全球网络犯罪团伙、多国漏洞中间商，Coruna 已从地缘博弈的情报工具，沦为威胁全球普通 iPhone 用户的黑产利器，数亿用户的设备安全与个人隐私都暴露在无差别的攻击风险之中。

Coruna 的溯源链条，还意外解开了一桩尘封两年的全球顶级黑客行动悬案 ------2023 年卡巴斯基（Kaspersky） 曝光的三角行动（Operation Triangulation）。

2023 年，卡巴斯基首次披露三角行动，这是一场针对俄罗斯境内数千台 iPhone 发起的复杂、定向黑客攻击，核心目标包括俄罗斯外交官等关键人员。事件曝光后，俄罗斯联邦安全局（Federal Security Service of the Russian Federation, FSB） 曾直接指控美国国家安全局（National Security Agency, NSA） 是幕后黑手，但始终未能拿出完整的实锤证据，卡巴斯基也从未公开对攻击发起方做出明确归因。

而 Coruna 的曝光，让这起事件的完整脉络终于形成闭环，多项核心证据形成了完整的证据链：

核心漏洞完全重合

Coruna 中的两个关键漏洞利用程序及底层漏洞（原始开发者命名为Photon 与Gallium），正是三角行动中使用的核心零日漏洞；
时间线完美吻合

三角行动的活跃期、Coruna 覆盖的 iOS 版本发布周期、威廉姆斯的泄密窗口期，三者高度重合；
技术架构高度同源

前 NSA 员工、iVerify 联合创始人洛基・科尔（Rocky Cole） 指出，Coruna 中Plasma、Photon、Gallium 三个模块的结构，与三角行动中使用的工具高度相似，且直接复用了部分漏洞利用程序，"国防圈内部人士" 也证实，Plasma 曾被用于三角行动；
命名规则的铁证

Coruna 工具包包含的 23 款工具中，多款均采用鸟类名称作为代号，包括鹤鸵（Cassowary）、恐鸟（Terrorbird）、蓝鸲（Bluebird）、沙丘鹤（Jacurutu）、麻雀（Sparrow）等。而 2021 年《华盛顿邮报》（The Washington Post）就曾披露，后来被 L3Harris 收购、并入 Trenchant 的网络安全初创公司Azimuth ，曾在圣贝纳迪诺 iPhone 破解案（San Bernardino iPhone Unlocking Case） 中，向美国联邦调查局（Federal Bureau of Investigation, FBI） 出售过一款代号为 "秃鹫（Condor）" 的黑客工具，二者的命名规则完全一脉相承。

值得注意的是，卡巴斯基虽未公开点名，但早已留下了隐晦的暗示。该公司为三角行动设计的标识，是由多个三角形组成的苹果 logo，与 L3Harris 的公司标识、Trenchant 双三角形的官方标识高度相似。这并非卡巴斯基首次使用此类暗示：2014 年，该公司曝光西班牙政府运营的Careto（西班牙语意为 "面具人"）黑客组织时，就曾在不公开点名的情况下，在报告插画中融入西班牙国旗、公牛、响板等元素，隐晦指向幕后主体，其研究人员私下已明确得出 "西班牙政府运营" 的结论。

对于二者的关联，各方态度有所差异。卡巴斯基安全研究员鲍里斯・拉林（Boris Larin） 表示，不能仅基于相同漏洞完成 100% 归因，因为这两个漏洞的细节早已公开，任何人都可以复用；但网络安全记者帕特里克・格雷（Patrick Gray） 则明确表态，基于其 "确认属实的零散信息"，威廉姆斯泄露给 Operation Zero 的，正是三角行动中使用的黑客工具包。

截至目前，这起事件仍有多个关键谜团尚未解开：目前仍无法确认，已公开的 Coruna 黑客工具包中，有多少核心内容由 L3Harris 旗下 Trenchant 部门开发；这款工具从五眼联盟手中流出后，完整的流转链条仍有多处空白；而美国及五眼联盟情报机构，是否曾利用 Coruna 发起过全球范围的无差别监控行动，也始终没有答案。

但可以确定的是，这起事件彻底暴露了全球网络空间军备竞赛的致命风险。美国政府及其盟友长期以来，持续打造、囤积针对全球主流软硬件的零日漏洞与黑客武器，将其作为地缘博弈与情报监控的核心工具。但这套看似严密的体系，却因内部人员的叛卖出现致命缺口，最终让国家级网络武器彻底失控，流入全球网络犯罪生态。

从美军方承包商的实验室，到五眼联盟的情报机构，再到俄罗斯黑客组织与全球黑产，Coruna 的流浪之路，正是当下全球网络空间失序的缩影。当各国将普通用户日常使用的电子设备，变成网络战场的靶标与武器，最终没有任何一方能在这场失控的军备竞赛中独善其身。