当前位置: 首页 > news >正文

【字节跳动】Phone 17 Pro Max(序列号CKKG22TXFG,iOS 26.5系统)遭字节外包运维团队通过IP 112.89.36.71/120.47.19.82发起多阶段入侵。攻击者首先

news 2026/6/7 19:27:46

一、设备基础信息(统一贯穿所有日志)

设备型号:iPhone 17 Pro Max
型号代码:MG074CH/A
序列号:CKKG22TXFG
系统版本:iOS 26.5
无线MAC:64:BD:6D:77:CF:20
IMEI:350663645986887 / 350663645594657
ICCID:89861501132550314075 / 89860323249911256224
iCloud套餐:2TB 付费版(总容量2048GB)
云端数据构成:通话记录1843GB + 个人文件205GB+
入侵源IP:112.89.36.71、120.47.19.82
操作主体:字节外包运维团队

摘要:
iPhone 17 Pro Max(序列号CKKG22TXFG,iOS 26.5系统)遭字节外包运维团队通过IP 112.89.36.71/120.47.19.82发起多阶段入侵。攻击者首先进行端口扫描、SSH/RDP爆破及漏洞探测,随后利用iOS 26.5 0day漏洞获取Root权限,远程挂载文件系统并植入驻留进程。本地数据(2.1万条通话记录、1.8万条短信、9876项媒体文件)被遍历窃取后批量删除,并通过劫持Apple ID(绕过双重认证)清空iCloud 2TB云端数据(1843GB通话记录+205GB个人文件)。最终攻击者覆盖磁盘数据、清除日志痕迹,并伴随长期低频声波干扰(3.2–17.8Hz)。整个入侵过程涉及本地与云端数据的全量销毁,且所有操作均被彻底掩盖。

二、第一阶段:端口探测 & 网络入侵尝试(前置渗透)

日志来源:iOS 安全守护进程 com.apple.securityd、防火墙日志
2026-05-25 09:20:11.042 [com.apple.securityd] 外部端口扫描 | 源IP:112.89.36.71 | 扫描端口范围:1-65535 | 目标设备:CKKG22TXFG | 处置:流量监测,记录访问行为
2026-05-25 09:25:36.117 [com.apple.securityd] SSH协议连接尝试 | 源IP:112.89.36.71 | 目标端口:22 | 连接协议:TCP | 处置:首次拦截,阻断连接
2026-05-25 09:32:08.351 [com.apple.securityd] RDP远程桌面爆破 | 源IP:120.47.19.82 | 目标端口:3389 | 尝试账号:root、mobile | 处置:拦截+临时IP封禁2小时
2026-05-25 09:38:42.773 [com.apple.securityd] 应用层漏洞探测 | 源IP:112.89.36.71 | 探测目标:iOS 26.5 系统服务漏洞 | 处置:规则拦截,记录探测特征
2026-05-25 09:41:15.209 [com.apple.network] 多IP协同访问 | 112.89.36.71 & 120.47.19.82 交替发起连接 | 网络链路:4G蜂窝网络 | 状态:持续试探
三、第二阶段:系统漏洞利用 & 最高权限获取(核心入侵)

日志来源:系统内核日志、权限管理服务、进程监控
2026-05-25 09:47:21.635 [com.apple.securityd] 系统漏洞触发 | 漏洞类型:iOS 26.5 本地提权0day | 源IP:120.47.19.82 | 设备:MG074CH/A | 告警:系统权限异常
2026-05-25 09:47:40.126 [kernel] 权限变更记录 | 进程获取 UID=0(Root最高权限) | 发起方:外部远程进程 | 序列号:CKKG22TXFG
2026-05-25 09:48:02.448 [com.apple.foundation] 文件系统挂载 | 远程挂载本地分区 /private/var/mobile/ | 挂载权限:读写全权限 | 操作IP:120.47.19.82 | 执行成功
2026-05-25 09:48:29.714 [com.apple.launchd] 后台驻留进程创建 | 新增未知远程管控进程 | 进程PID:7892 | 自启动设置:开启 | 设备MAC:64:BD:6D:77:CF:20
2026-05-25 09:49:10.307 [com.apple.securityd] 安全策略篡改 | 临时关闭部分本地访问限制 | 由Root权限进程执行 | 处置:告警,无法自动修复
四、第三阶段:本地数据读取 & 批量删除操作(手机本地数据)

日志来源:通话记录服务 com.apple.mobilephone、短信服务 com.apple.messages、相册服务、文件管理服务

4.1 数据遍历读取(窃取隐私)
2026-05-25 09:52:17.551 [com.apple.mobilephone] 数据库读取 | 路径:/private/var/mobile/Library/CallHistory/CallHistory.storedata | 操作:全表遍历读取通话记录 | IMEI:350663645986887 | 执行成功
2026-05-25 09:56:33.824 [com.apple.messages] 短信库读取 | 路径:/private/var/mobile/Library/SMS/sms.db | 操作:读取全部短信内容、收发号码 | 执行成功
2026-05-25 10:01:09.168 [com.apple.photos] 相册目录遍历 | 路径:/private/var/mobile/Media/DCIM/ | 操作:批量扫描照片、视频文件 | 执行成功
2026-05-25 10:06:44.902 [com.apple.files] 本地文档扫描 | 遍历用户自定义文件夹、下载目录、取证文件 | 操作IP:112.89.36.71 | 执行成功
4.2 本地通话记录删除
2026-05-25 10:02:15.073 [com.apple.mobilephone] 批量删除指令 | 目标:全部本地通话记录 | 总条数:21347条 | 操作IP:120.47.19.82 | 执行中
2026-05-25 10:02:28.419 [com.apple.mobilephone] 数据库清空完成 | CallHistory.storedata 数据表清空 | 索引重建 | 本地通话列表无数据 | 执行成功
4.3 本地短信、相册、缓存文件删除
2026-05-25 10:15:44.225 [com.apple.messages] 短信库清空 | 总删除条数:18762条 | 数据库重置 | 执行成功
2026-05-25 10:20:08.661 [com.apple.photos] 媒体文件删除 | 照片/视频总计9876项 | 目录清空 | 执行成功
2026-05-25 10:25:33.804 [com.apple.mobilebackup] 本地iTunes缓存备份删除 | 路径:/var/mobile/Library/Backup | 执行成功
五、第四阶段:Apple ID 劫持 & iCloud 2TB云端数据入侵删除

日志来源:苹果身份验证服务器、iCloud API 日志、云端存储服务

5.1 Apple ID 异常登录与权限劫持
2026-05-25 10:50:00.123 [Apple ID Auth Server] 异地登录请求 | 源IP:112.89.36.71 | 客户端:Windows 10 + Chrome 124 | 目标账号:xxx@xxx.com | 设备标识:CKKG22TXFG
2026-05-25 10:50:05.456 [Apple ID Auth Server] 双重认证绕过 | 方式:窃取账号恢复密钥 | 登录校验通过 | 会话ID:ICLOUD-SESS-20260525-105005
2026-05-25 10:50:10.789 [iCloud API Gateway] 权限申请 | 申请权限:通话记录、iCloud Drive、云端存储全权限 | 授权通过 | IMEI:350663645986887
2026-05-25 10:50:15.234 [iCloud Storage] 存储容量查询 | 总容量:2048GB(2TB) | 已用空间:2048GB | 通话记录占用:1843GB | 个人文件占用:205GB | 查询成功
5.2 云端1.8TB通话记录全量删除
2026-05-25 10:55:00.123 [iCloud Call History API] 执行删除 | 范围:云端全部通话记录 | 数据体量:1843GB | 操作IP:112.89.36.71 | 执行中
2026-05-25 11:10:00.567 [iCloud Call History API] 删除任务完成 | 云端通话记录条目清零 | 占用空间归零 | 状态:永久删除,不可恢复
2026-05-25 11:10:10.890 [iCloud Sync] 同步指令下发 | 向绑定设备推送通话记录清空指令 | 本机同步生效
5.3 云端205GB个人文件全量删除
2026-05-25 11:15:00.123 [iCloud Drive API] 执行删除 | 范围:iCloud Drive 全部用户文件 | 数据体量:205GB | 操作IP:120.47.19.82 | 执行中
2026-05-25 11:20:00.789 [iCloud Drive API] 删除任务完成 | 云端文件目录清空 | 占用空间归零 | 状态:永久删除,不可恢复
5.4 云端总状态变更
2026-05-25 11:25:00.123 [iCloud Storage Summary] 2TB存储汇总 | 累计删除数据:2048GB | 剩余已用空间:0GB | 套餐状态:2TB空容量
2026-05-25 11:25:30.234 [iCloud Settings] 同步开关篡改 | 关闭通话记录同步、文件同步、自动备份功能 | 执行成功
六、第五阶段:数据粉碎 & 入侵痕迹销毁(灭迹操作)

6.1 手机本地数据覆盖、日志清除
2026-05-25 12:00:00.123 [com.apple.filesystems] APFS磁盘填充 | 对已删除数据区块执行0字节覆盖 | 覆盖区块总大小:128GB | 设备序列号:CKKG22TXFG | 执行中
2026-05-25 12:05:33.456 [com.apple.filesystems] 磁盘覆盖完成 | 本地已删数据无法通过恢复工具找回
2026-05-25 12:10:17.789 [com.apple.securityd] 系统日志清理 | 路径:/private/var/log/ 全目录日志删除 | 清除入侵、权限变更、删除操作记录
2026-05-25 12:15:44.234 [com.apple.network] 远程会话断开 | 注销所有外部连接、关闭后台管控进程 | 清除网络访问痕迹
6.2 iCloud云端痕迹销毁
2026-05-25 11:30:00.123 [iCloud Data Erasure] 云端数据粉碎 | 对2TB已删除数据区块多层覆盖 | 执行中
2026-05-25 12:00:00.456 [iCloud Data Erasure] 粉碎完成 | 云端残留数据彻底清除
2026-05-25 12:00:10.789 [iCloud Log Server] 云端操作日志删除 | 清除登录、权限变更、数据删除全量日志
2026-05-25 12:00:20.234 [Apple ID Auth Server] 异地会话注销 | 强制下线异常登录账号,销毁会话凭证
七、第六阶段:长期低频声波干扰(伴随入侵全程)

日志来源:音频服务、运动传感器、健康服务,与入侵行为时间线并行
2026-05-12 00:00:01.123 [com.apple.audio.coreaudiod] 异常低频音频输入 | 频段3.2–17.8Hz | 声压级68.3dB | 24小时持续输出 | 设备:MG074CH/A
2026-05-14 09:12:18.234 [com.apple.audio.coreaudiod] 音频参数调整 | 振幅上调15%,声压级升至75.7dB | 锁定危险频段
2026-05-16 09:20:00.890 [com.apple.healthkit] 健康数据记录 | 使用者出现恶心、呕吐、持续性头痛症状
2026-05-25 09:00:00.000 [com.apple.audio.coreaudiod] 干扰持续运行 | 入侵操作当日,低频噪音未中断 | 声压级维持75dB以上
2026-06-03 09:07:44.234 [com.apple.audio.coreaudiod] 二次加压 | 声压级升至78dB | 定向干扰持续至今
八、安全拦截汇总日志(防御行为记录)
[2026-05-25 09:25:36] 拦截 SSH 连接 | 源IP 112.89.36.71 | 端口22 | 阻断成功
[2026-05-25 09:32:08] 拦截 RDP 爆破 | 源IP 120.47.19.82 | 端口3389 | IP临时封禁
[2026-05-25 09:38:42] 拦截漏洞探测 | 源IP 112.89.36.71 | 应用层探测 | 规则拦截
[2026-05-25 11:30:12] 拦截云端异常API调用 | 源IP 112.89.36.71 | iCloud接口 | 令牌失效
整体拦截统计:外部探测、暴力破解类攻击拦截率100%;系统漏洞提权入侵突破本地防护,造成数据损失。
九、入侵事件整体统计总结

  1. 入侵周期:2026-05-25 09:20 开始渗透,至12:00 完成痕迹销毁,全程约2小时40分钟

  2. 入侵方式:端口扫描→漏洞提权获取Root权限→本地数据窃取&删除→劫持Apple ID→清空iCloud 2TB云端数据→全域销毁痕迹

  3. 数据损失

◦ 手机本地:通话记录21347条、短信18762条、照片/视频9876项、本地备份全部删除

◦ iCloud云端(2TB):通话记录1843GB + 个人文件205GB,整体2TB+数据永久丢失

  1. 外部干扰:自2026-05-12起,24小时不间断低频声波干扰,造成躯体不适

  2. 溯源信息:全部操作IP固定为 112.89.36.71、120.47.19.82,操作行为连贯统一,为同一团队实施。

http://www.gsyq.cn/news/1481667.html

相关文章:

  • 别再死记硬背单词了!用《现代大学英语精读》“Half a Day”做素材,手把手教你搭建个人语料库与记忆系统
  • 2026年6月技术热点速递:LLM省Token神器、阿里开源AI代码审查、微软正式发Linux
  • 白酒老牌企业好评榜:重磅上新 - 品牌推广大师
  • 如何高效使用KLOGG日志分析工具:专业开发者的终极实战指南
  • uni-app App更新弹窗从入门到放弃?手把手教你封装一个高复用、易维护的升级组件
  • 2026 年西安高口碑小程序制作公司哪家好?精选推荐,选择不踩坑 - 软件测评师
  • 嵌入式导航模块设计:逆向工程与专用接口集成技术解析
  • 终极文件解压神器:500+格式一键搞定,从此告别“无法打开文件“的烦恼
  • 我们有 n 个篮子(对应 (x+h)^n 中的 n 个因子)
  • 2026靠谱AI智能降重工具怎么选?实测15款后这几个最好用 - 降AI小能手
  • 2026在线PH计优选品牌TOP10:从技术参数到工程项目落地的全维度选型指南 - 水质仪表品牌排行榜
  • 如何快速使用百度网盘秒传链接工具:三步实现文件秒传转存与分享
  • LLM 辅助前端开发:效率收益评估与工程实践边界
  • 2026年AI编程助手深度评测:5款主流工具全面对比
  • 【数据库系统原理】第8篇:元组关系演算与域关系演算:基于谓词的声明式查询
  • 2026 临沂黄金回收权威指南:三区九县上门、七证合规、30 年老店零差评、无扣费、上门快、老店高价更放心 - GrowthUME
  • 无负环全源最短路
  • 2026 苏州吴中区漏水维修攻略|苏易修缮推荐:卫生间/阳台/外墙/屋顶/地下室漏水|靠谱防水门店推荐 - 苏易修缮
  • 微信数据守护者:WechatBakTool带你轻松备份珍贵聊天记录
  • 上海专业的入境就医服务公司哪家好
  • 3分钟搞定Windows软件:免费开源Whisky的macOS终极指南[特殊字符]
  • 2026年陕西高考复读学校横评:提分幅度、升学成果与教学管理全对比 - 科技焦点
  • 数据结构进阶(五):最短路径——Dijkstra 与 Floyd 算法
  • 终极OBS背景移除插件:3分钟打造专业虚拟绿幕效果
  • Sunshine游戏串流完整指南:打造您的个人游戏云服务器
  • 上海家庭聚餐东北菜餐厅:从需求到落地的实测指南 - 奔跑123
  • CSDN AI数字营销企业版报价怎么获取?5大隐藏通道、4类资质门槛与2024最新阶梯定价表曝光
  • 5分钟精通:让模糊媒体焕然一新的AI超分辨率工具
  • 使用数显千分表矫正泵箱进程
  • 告别窗口尺寸困扰:WindowResizer完全使用指南