【漏洞通告】关于 Coruna与DarkSword:iOS高端攻击武器扩散威胁的预警通报

2026-04-07 10:41:31 漏洞播报 0个评论

安全通告

关于 Coruna与DarkSword:iOS高端攻击武器扩散威胁的预警通报

发布日期:20260407

[2026]008

漏洞描述

2026年3月,安全研究人员接连披露两款针对iOS设备的高级漏洞利用工具包(exploit kit):3月3日左右由Google GTIG、iVerify和Lookout联合披露的Coruna,以及3月18日披露的DarkSword。这两款工具使用多个零日漏洞,均采用水坑攻击的方式,即通过恶意网站或被入侵的合法网站植入iframe,用户仅需访问即可触发零交互或极少交互的完整设备接管链,无需额外点击或下载。约3月23日,DarkSword的部分代码(HTML+JavaScript)被匿名上传至GitHub公开仓库,使其成为“即插即用”的攻击工具,任何具备基本技术能力的人均可自行部署。Coruna和DarkSword这两款工具的出现是iOS零日武器从高级网络间谍工具向犯罪团伙快速扩散的典型案例,它们均超出了原本设计的使用范围,通过二手市场等渠道流经多个攻击团伙,导致被广泛滥用,对大量普通用户造成了严重的安全威胁。

漏洞编号

CVE-2025-31277、CVE-2026-20700、CVE-2026-20643等29个涉及漏洞。

漏洞危害

Coruna包含5条完整iOS exploit链、共23个漏洞,针对iOS 13.0至17.2.1(2019-2023年版本)。攻击链从WebKit远程代码执行(RCE)开始,依次实现PAC绕过、沙箱逃逸、内核权限提升,最终注入后门(如PlasmaLoader/PLASMAGRID)。早期版本与2023年国外安全厂商披露的“Operation Triangulation”攻击行动的部分代码有复用迹象。

而DarkSword由纯JavaScript实现(无PPL/SPTM依赖),利用6个漏洞(包括CVE-2025-31277、CVE-2026-20700等零日漏洞),针对更新的iOS 18.4至18.7版本。采用“hit-and-run”(打完就跑)设计:快速窃取数据后清除痕迹。核心组件包括rce_loader.js和多个payload家族(GHOSTBLADE、GHOSTKNIFE、GHOSTSABER)。

这两款漏洞攻击武器可以允许攻击者获得近乎完整的设备控制权,包括读取Keychain密码、iCloud数据、Wi-Fi记录、短信、通讯录、浏览器历史、位置轨迹、Apple Health数据、WhatsApp/Telegram聊天记录,以及Coinbase、Binance等主流加密货币钱包数据。但在具体实现方面,Coruna偏向于持久化监控与金融窃取,DarkSword更注重快速数据外传后自毁。

Apple已于后续iOS版本中修补相关漏洞(Coruna相关补丁早于iOS 17.3,DarkSword相关补丁至iOS 26.3),但未更新的旧设备仍处于高风险状态。而全球范围内仍有大量苹果活跃设备未更新至最新iOS版本,因此这两个攻击武器仍存在不小潜在威胁。。

漏洞等级

高危

受影响版本

13.0 <= iOS < 17.2.1

修复方案

  1. 立即更新系统,将iPhone/iPad升级至最新iOS/iPadOS版本,Apple明确表示,所有已知漏洞均已修复,苹果官方链接:https://support.apple.com/zh-cn/100100。
  2. 启用设备的Lockdown模式,此模式可有效阻断Coruna/DarkSword攻击链,Apple确认尚未观察到Lockdown模式被成功绕过的案例。
  3. 避免点击可疑链接或访问未知网站;使用Safari私密浏览模式;关闭不必要的iCloud同步。
  4. 若在密码检查功能中出现密码泄露提示,其与系统漏洞无关,它的工作原理是,将你保存在 iCloud 钥匙串里的账号密码组合,与已知的、公开的数据泄露数据库进行比对,这通常意味着你在这个网站上使用的密码,也在其他某个被黑客攻击的网站上使用过。仅需按提示修改相关账户密码或开启双重认证即可。

参考链接

https://mp.weixin.qq.com/s/UgZV6xXOPcenZkXSX8ea6Q

https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit

https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain

https://techcrunch.com/2026/03/26/a-major-hacking-tool-has-leaked-online-putting-millions-of-iphones-at-risk-heres-what-you-need-to-know/

分享本文 分享到新浪微博 分享到QQ好友