卡巴斯基详细说明Coruna漏洞利用工具背后的三角测量行动

执行摘要

卡巴斯基全球研究与分析团队（GReAT）发布了对Coruna漏洞框架的详细技术分析，这是在长期针对iOS设备的Operation Triangulation行动中使用的核心技术。分析显示，Coruna利用的内核漏洞是两个先前记录的漏洞——CVE-2023-32434和CVE-2023-38606——的更新版本，这些漏洞被改编以绕过苹果公司最新的缓解措施。Coruna通过零点击iMessage漏洞传递其有效载荷，无需用户交互即可完全控制设备。根据卡巴斯基研究人员的说法，该框架已经活跃了数年，并且仍在不断发展。

技术分析

卡巴斯基GReAT分析师确定Coruna框架采用了模块化架构，其中内核漏洞组件是早期Operation Triangulation攻击中使用技术的精炼迭代。针对CVE-2023-32434的更新漏洞，即XNU内核中的整数溢出漏洞，现在增加了额外的反分析检查和内存损坏原语，以规避现有的检测签名。同样，针对CVE-2023-38606的漏洞，即苹果GPU驱动程序中的硬件级内存映射问题，已被修改以绕过iOS 16.5中引入的内核地址空间布局随机化（KASLR）保护。

Coruna的交付链始于一个恶意iMessage附件，该附件在没有任何用户点击的情况下触发iOS内核中的远程代码执行。一旦内核被破坏，框架部署了一个持久植入物，使用加密的自定义协议与命令和控制服务器通信。卡巴斯基指出，该框架包括一个自毁机制，在数据外泄后擦除取证工件，使得归因和恢复变得困难。

卡巴斯基的报告强调，Coruna不是一个单一的恶意软件菌株，而是一个框架——一系列可互换的漏洞模块、持久性机制和数据窃取组件的集合。研究人员观察到，框架的代码库显示出持续发展的迹象，具有版本控制和功能更新，这表明有一个专门的开发团队。分析没有将框架归因于特定的国家，但其复杂性和操作安全性与高级持续性威胁团体相符。

缓解措施与建议

苹果公司已在2023年发布的iOS更新中修补了CVE-2023-32434和CVE-2023-38606。组织应验证所有管理的iOS设备是否运行最新的iOS版本。防御者应监控异常的iMessage活动，特别是来自未知发送者的未经请求的消息，这些消息触发了意外的设备行为。卡巴斯基建议实施网络级别的检测，以识别与Coruna框架相关的C2通信模式，尽管报告中没有公开披露具体的IOC。