谷歌指出,蘋果公司在其最新版本的行動作業系統 iOS 26 中修補了 Coruna 使用的漏洞,因此其利用技術僅被確認可針對 iOS 13 至 17.2.1。它針對的是Apple瀏覽器Webkit框架中的漏洞,因此使用這些舊版iOS的Safari用戶將容易受到攻擊,但該工具包中沒有針對Chrome用戶的確認技術。谷歌也指出,Coruna 會檢查 iOS 裝置是否啟用了蘋果最嚴格的安全設定(稱為「鎖定模式」),如果啟用,則不會嘗試對其進行破解。
儘管有這些限制,iVerify 表示 Coruna 可能感染了數萬支手機。該公司諮詢了能夠存取網路流量的合作夥伴,並測量了感染中文網站的網路版科魯尼亞病毒的命令和控制伺服器的存取情況。 iVerify 表示,這些連結的數量表明,僅在投機活動中就有多達 42,000 台設備可能已被該工具包攻擊。
目前尚不清楚科魯尼亞可能還襲擊了多少其他受害者,其中包括訪問受俄羅斯間諜活動代碼感染的網站的烏克蘭人。除了已發布的報告外,谷歌拒絕發表評論。蘋果沒有立即對谷歌或 iVerify 的調查結果發表評論。
一位獨特且非常專業的作家
在 iVerify 對 Coruna 網路犯罪版本的分析中(它無法存取任何先前的版本),該公司發現該程式碼似乎已被修改,可以在目標裝置上安裝惡意軟體,這些惡意軟體旨在從加密錢包中竊取加密貨幣,並竊取照片,在某些情況下還竊取電子郵件。然而,根據 iVerify 產品負責人 Spencer Parker 的說法,與底層的 Coruna 工具包相比,這些插件“編寫得很差”,他發現該工具包的完善和模組化令人印象深刻。
「天哪,這些東西寫得非常專業,」帕克在談到 Coruna 中包含的漏洞時說道,這表明更嚴重的惡意軟體是由後來獲得該程式碼的網路犯罪分子添加的。
至於暗示 Coruna 起源於美國政府工具包的程式碼模組,iVerify 的 Cole 指出了另一種解釋:Coruna 的程式碼可能與俄羅斯基於三角測量資料被收集並在發現後重新利用而強加給美國駭客的三角測量惡意軟體一致。但科爾認為不太可能。他指出,科魯尼亞島的許多元素以前從未見過,正如他所說,整個工具包似乎是由「單一作者」創建的。
「這個框架非常有效,」曾在美國國家安全局工作的科爾說,但他指出,他已經離開政府十多年了,任何發現都不是基於他自己對美國黑客工具的過時了解。 “看起來是完整寫的,又不像是經過編輯的。”
如果科魯尼亞實際上是一個丟失的美國盜版工具箱,那麼它如何落入外國人和犯罪分子手中仍然是個謎。但科爾指出,經紀人產業可以支付數千萬美元購買零日駭客技術,並將這些技術轉售用於間諜活動、網路犯罪或網路戰。具體來說,美國政府公司 Trenchant 的高層 Peter Williams 因在 2022 年至 2025 年期間向俄羅斯零日經紀商零日行動出售駭客工具而於本月被判處七年監禁。威廉斯的量刑備忘錄指出,Trenchant 向美國情報界以及美國政府情報機構的其他人員出售駭客工具。英國、澳洲、加拿大和紐西蘭——儘管尚不清楚它銷售了哪些具體工具或哪些設備成為目標。
「這些零日漏洞和漏洞利用經紀人往往是不擇手段的,」科爾說。 “他們賣給出價最高的人,然後雙倍下注。許多人沒有獨家協議。這很可能就是這裡發生的事情。”
「其中一個工具最終落入非西方剝削經紀人手中,他們將其賣給任何願意付費的人,」科爾總結道。 “精靈已經從瓶子裡出來了。”
