政府间谍软件Coruna疑似被泄露到网上 用来窃取加密货币用户的钱包助记词

Google威胁情报小组在2025年2月份首次观察到与Coruna漏洞利用工具包相关的活动，此次攻击活动被归因于某个商业监控供应商的客户(客户下单并由供应商辅助发起攻击)。2yC品论天涯网

当时研究人员获得JavaScript交付框架以及针对CVE-2024-23222的漏洞利用程序，CVE-2024-23222是个WebKit漏洞，允许攻击者在iOS17.2.1版上执行远程代码，苹果在iOS17.3版中修复了该漏洞。2yC品论天涯网

相关的漏洞还牵涉到针对卡巴斯基的三角测量攻击，三角测量是一场极其复杂的攻击，当时卡巴斯基实验室的多名员工使用的iOS设备被植入恶意软件并实施监控。2yC品论天涯网

现在这些漏洞都已经修复，所以Coruna工具只能针对iOS17.2.1及以下版本发起攻击，然而现实中确实有诸多用户不愿意升级或者iOS设备已经不支持后续的新版本而没能升级。2yC品论天涯网

所以现在部分处于经济利益的黑客团体开始利用Coruna工具发起攻击，这些黑客的目的极其单一，主要就是窃取用户相册中的加密货币钱包助记词，也就是专注于窃取加密货币。2yC品论天涯网

其流程是这样的：2yC品论天涯网

广泛撒网或针对加密货币领域活跃的用户发起攻击，待目标用户感染Coruna恶意软件后，该恶意软件会扫描用户相册并识别是否有助记词类的照片。2yC品论天涯网

如果有则直接将包含助记词的照片上传到C2服务器，黑客对用户保存的其他照片不感兴趣，所以没有助记词的话至少目前没发现黑客还会窃取用户照片发起勒索。2yC品论天涯网

这又得说起加密货币领域的安全规则：2yC品论天涯网

无论如何都不应该将钱包助记词截图保存到相册，也不应该将手写的助记词拍照保存到相册，对于助记词最佳安全实践是手写到纸上保存在家里(最好手写多份)。2yC品论天涯网

只有物理隔断助记词的访问才能确保安全性，将助记词拍照保存到手机、上传到网盘都是非常不靠谱的做法，而使用过时的iOS版本则会放大攻击面。2yC品论天涯网