三角行动再现：Coruna框架深度解析——iOS零日漏洞利用链升级版

🎯 Critical APT组织

Kaspersky分析发现，一个名为Coruna的iOS漏洞利用工具包是Operation Triangulation攻击框架的升级版，结合了CVE-2023-32434和CVE-2023-38606等零日漏洞。该工具包采用统一设计，包含5个内核利用模块和模块化加载器，已被用于水坑攻击和定向间谍活动，目标覆盖乌克兰和中国。

来源：Kaspersky Securelist | 2026-03-26 | 原文链接

🔍 关键发现

• Coruna是Operation Triangulation所用漏洞利用框架的升级版，代码高度相似，且包含两个此前未见的内核漏洞利用模块。
• 该工具包使用统一的文件容器格式（0xBEDF00D、0xF00DBEEF、0x12345678）和ChaCha20加密，按设备架构、固件版本和CPU代际动态选择载荷。
• 漏洞利用链始于Safari浏览器指纹识别，随后执行远程代码执行和指针认证绕过，最终加载内核漏洞、Mach-O加载器和植入程序。

⚔️ 攻击链分析

1. 攻击者通过水坑或定向链接诱导用户访问恶意页面，Safari stager执行浏览器指纹识别。 2. 根据浏览器版本选择合适的RCE和PAC绕过漏洞，解密并下载组件清单。 3. 从加密容器中提取内核漏洞、Mach-O加载器和launcher配置，根据设备固件和架构（ARM64/ARM64E）动态加载。 4. 执行内核漏洞利用获得最高权限，部署间谍软件植入程序。

🚩 失陷指标 (IOC)

• 0xBEDF00D（容器魔数）
• 0xF00DBEEF（文件容器魔数）
• 0x12345678（包信息魔数）
• Package ID 0xF3300000~0xF3900000（内核漏洞包标识）

🛡️ 缓解建议

• ✅ 立即升级iOS至17.2以上版本，修复CVE-2023-32434、CVE-2023-38606等已知漏洞。
• ✅ 在iOS设备上启用锁定模式（Lockdown Mode），限制WebKit和浏览器攻击面。
• ✅ 部署网络流量监控，检测异常的Safari行为或未知的加密通信模式。

涉及漏洞：["CVE-2023-32434""CVE-2023-38606"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。