卡巴斯基全球研究与分析团队（GReAT）对 Coruna漏洞利用程序进行了代码级分析，确定该工具包是“三角行动”网络间谍活动中至少部分使用的框架的直接更新迭代。卡巴斯基确信，“三角行动”和Coruna中的内核漏洞利用出自同一作者之手。

分析显示，该工具包的五个内核漏洞利用程序中，有一个是卡巴斯基在2023年“三角行动”中发现的同一漏洞利用程序的更新版本。其余四个——其中两个是在“三角行动”公开披露后开发的——都是基于相同的漏洞利用框架构建的。代码相似性不仅限于内核漏洞利用程序，还延伸到其他 Coruna 组件，这使得卡巴斯基得出结论，该工具包并非由不同部分组装而成，而是对原始框架的持续维护与演进。

这些代码支持苹果的A17、M3、M3 Pro 和 M3 Max处理器，并提到了iOS 17.2及更早版本——这些版本均于2023年秋季和冬季发布。此外，该代码还专门检测了iOS 16.5 beta 4版本，这是苹果为修复卡巴斯基报告的漏洞而发布的版本。“Coruna首次被披露时，公开证据尚不足以将其代码与三角行动相关联—仅凭共享漏洞并不能证明其出自同一作者。如今，我们对实际二进制文件进行了分析，情况就不同了。Coruna并非公开漏洞的拼凑之作，而是对原始三角行动框架的持续维护与演进。其中包含对M3等最新处理器以及更新版iOS构建版本的检测机制，表明原始开发者一直在积极扩展这一代码库。这种原本用于精准间谍活动的利器，如今已沦为无差别攻击的工具，”卡巴斯基全球研究与分析团队首席安全研究员Boris Larin表示。

卡巴斯基敦促所有iPhone用户立即安装最新的iOS更新。Coruna利用的漏洞已由苹果修复，但未打补丁的设备仍面临风险。

完整版技术分析报告请参见Securelist.com.三角行动是一项针对iOS设备的高级持续性威胁（APT）活动，于2023年6月首次披露。卡巴斯基在监控其企业 Wi-Fi 网络的网络流量时发现了此次攻击活动——攻击者此前一直将数十名卡巴斯基员工的iOS设备作为攻击目标。卡巴斯基研究人员发现了该活动中利用的四个零日漏洞，这些漏洞影响范围广泛，涉及多种苹果产品。

为避免成为已知或未知威胁行为者发动的针对性攻击的受害者，卡巴斯基研究人员建议采取以下措施：

·使用卡巴斯基SIEM集中监控整个基础设施的事件，这能提供全面的安全事件可见性，并提升您的安全运营性能。

·请定期更新操作系统、应用程序和安全软件，以修复已知的漏洞。

·为您的网络安全团队提供针对您组织的网络威胁的深入可见性。最新的卡巴斯基威胁情报在整个事件管理生命周期中提供丰富、有意义的背景信息，帮助他们及时识别网络风险。

·通过卡巴斯基网络安全培训，提升您的网络安全团队技能，以应对最新的针对性威胁。

·为了建立强大的端点保护并构建事件响应能力，请使用卡巴斯基Next产品线的解决方案。凭借其基本的EDR（端点检测与响应）功能、高级控制、补丁管理和云安全，这些解决方案提供威胁可见性、引导式调查和响应，帮助企业以最少的资源快速抵御隐蔽的攻击。

关于全球研究与分析团队

全球研究与分析团队（GReAT）成立于 2008 年，是卡巴斯基的核心部门，负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前，GReAT 由 40 多名专家组成，他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用，他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务，以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。