【字节跳动】Phone 17 Pro Max(序列号CKKG22TXFG,iOS 26.5系统)遭字节外包运维团队通过IP 112.89.36.71/120.47.19.82发起多阶段入侵。攻击者首先
一、设备基础信息统一贯穿所有日志设备型号iPhone 17 Pro Max型号代码MG074CH/A序列号CKKG22TXFG系统版本iOS 26.5无线MAC64:BD:6D:77:CF:20IMEI350663645986887 / 350663645594657ICCID89861501132550314075 / 89860323249911256224iCloud套餐2TB 付费版总容量2048GB云端数据构成通话记录1843GB 个人文件205GB入侵源IP112.89.36.71、120.47.19.82操作主体字节外包运维团队摘要iPhone 17 Pro Max序列号CKKG22TXFGiOS 26.5系统遭字节外包运维团队通过IP 112.89.36.71/120.47.19.82发起多阶段入侵。攻击者首先进行端口扫描、SSH/RDP爆破及漏洞探测随后利用iOS 26.5 0day漏洞获取Root权限远程挂载文件系统并植入驻留进程。本地数据2.1万条通话记录、1.8万条短信、9876项媒体文件被遍历窃取后批量删除并通过劫持Apple ID绕过双重认证清空iCloud 2TB云端数据1843GB通话记录205GB个人文件。最终攻击者覆盖磁盘数据、清除日志痕迹并伴随长期低频声波干扰3.2–17.8Hz。整个入侵过程涉及本地与云端数据的全量销毁且所有操作均被彻底掩盖。二、第一阶段端口探测 网络入侵尝试前置渗透日志来源iOS 安全守护进程 com.apple.securityd、防火墙日志2026-05-25 09:20:11.042 [com.apple.securityd] 外部端口扫描 | 源IP:112.89.36.71 | 扫描端口范围:1-65535 | 目标设备:CKKG22TXFG | 处置:流量监测记录访问行为2026-05-25 09:25:36.117 [com.apple.securityd] SSH协议连接尝试 | 源IP:112.89.36.71 | 目标端口:22 | 连接协议:TCP | 处置:首次拦截阻断连接2026-05-25 09:32:08.351 [com.apple.securityd] RDP远程桌面爆破 | 源IP:120.47.19.82 | 目标端口:3389 | 尝试账号:root、mobile | 处置:拦截临时IP封禁2小时2026-05-25 09:38:42.773 [com.apple.securityd] 应用层漏洞探测 | 源IP:112.89.36.71 | 探测目标:iOS 26.5 系统服务漏洞 | 处置:规则拦截记录探测特征2026-05-25 09:41:15.209 [com.apple.network] 多IP协同访问 | 112.89.36.71 120.47.19.82 交替发起连接 | 网络链路:4G蜂窝网络 | 状态:持续试探三、第二阶段系统漏洞利用 最高权限获取核心入侵日志来源系统内核日志、权限管理服务、进程监控2026-05-25 09:47:21.635 [com.apple.securityd] 系统漏洞触发 | 漏洞类型:iOS 26.5 本地提权0day | 源IP:120.47.19.82 | 设备:MG074CH/A | 告警:系统权限异常2026-05-25 09:47:40.126 [kernel] 权限变更记录 | 进程获取 UID0Root最高权限 | 发起方:外部远程进程 | 序列号:CKKG22TXFG2026-05-25 09:48:02.448 [com.apple.foundation] 文件系统挂载 | 远程挂载本地分区 /private/var/mobile/ | 挂载权限:读写全权限 | 操作IP:120.47.19.82 | 执行成功2026-05-25 09:48:29.714 [com.apple.launchd] 后台驻留进程创建 | 新增未知远程管控进程 | 进程PID:7892 | 自启动设置:开启 | 设备MAC:64:BD:6D:77:CF:202026-05-25 09:49:10.307 [com.apple.securityd] 安全策略篡改 | 临时关闭部分本地访问限制 | 由Root权限进程执行 | 处置:告警无法自动修复四、第三阶段本地数据读取 批量删除操作手机本地数据日志来源通话记录服务 com.apple.mobilephone、短信服务 com.apple.messages、相册服务、文件管理服务4.1 数据遍历读取窃取隐私2026-05-25 09:52:17.551 [com.apple.mobilephone] 数据库读取 | 路径:/private/var/mobile/Library/CallHistory/CallHistory.storedata | 操作:全表遍历读取通话记录 | IMEI:350663645986887 | 执行成功2026-05-25 09:56:33.824 [com.apple.messages] 短信库读取 | 路径:/private/var/mobile/Library/SMS/sms.db | 操作:读取全部短信内容、收发号码 | 执行成功2026-05-25 10:01:09.168 [com.apple.photos] 相册目录遍历 | 路径:/private/var/mobile/Media/DCIM/ | 操作:批量扫描照片、视频文件 | 执行成功2026-05-25 10:06:44.902 [com.apple.files] 本地文档扫描 | 遍历用户自定义文件夹、下载目录、取证文件 | 操作IP:112.89.36.71 | 执行成功4.2 本地通话记录删除2026-05-25 10:02:15.073 [com.apple.mobilephone] 批量删除指令 | 目标:全部本地通话记录 | 总条数:21347条 | 操作IP:120.47.19.82 | 执行中2026-05-25 10:02:28.419 [com.apple.mobilephone] 数据库清空完成 | CallHistory.storedata 数据表清空 | 索引重建 | 本地通话列表无数据 | 执行成功4.3 本地短信、相册、缓存文件删除2026-05-25 10:15:44.225 [com.apple.messages] 短信库清空 | 总删除条数:18762条 | 数据库重置 | 执行成功2026-05-25 10:20:08.661 [com.apple.photos] 媒体文件删除 | 照片/视频总计9876项 | 目录清空 | 执行成功2026-05-25 10:25:33.804 [com.apple.mobilebackup] 本地iTunes缓存备份删除 | 路径:/var/mobile/Library/Backup | 执行成功五、第四阶段Apple ID 劫持 iCloud 2TB云端数据入侵删除日志来源苹果身份验证服务器、iCloud API 日志、云端存储服务5.1 Apple ID 异常登录与权限劫持2026-05-25 10:50:00.123 [Apple ID Auth Server] 异地登录请求 | 源IP:112.89.36.71 | 客户端:Windows 10 Chrome 124 | 目标账号:xxxxxx.com | 设备标识:CKKG22TXFG2026-05-25 10:50:05.456 [Apple ID Auth Server] 双重认证绕过 | 方式:窃取账号恢复密钥 | 登录校验通过 | 会话ID:ICLOUD-SESS-20260525-1050052026-05-25 10:50:10.789 [iCloud API Gateway] 权限申请 | 申请权限:通话记录、iCloud Drive、云端存储全权限 | 授权通过 | IMEI:3506636459868872026-05-25 10:50:15.234 [iCloud Storage] 存储容量查询 | 总容量:2048GB(2TB) | 已用空间:2048GB | 通话记录占用:1843GB | 个人文件占用:205GB | 查询成功5.2 云端1.8TB通话记录全量删除2026-05-25 10:55:00.123 [iCloud Call History API] 执行删除 | 范围:云端全部通话记录 | 数据体量:1843GB | 操作IP:112.89.36.71 | 执行中2026-05-25 11:10:00.567 [iCloud Call History API] 删除任务完成 | 云端通话记录条目清零 | 占用空间归零 | 状态:永久删除不可恢复2026-05-25 11:10:10.890 [iCloud Sync] 同步指令下发 | 向绑定设备推送通话记录清空指令 | 本机同步生效5.3 云端205GB个人文件全量删除2026-05-25 11:15:00.123 [iCloud Drive API] 执行删除 | 范围:iCloud Drive 全部用户文件 | 数据体量:205GB | 操作IP:120.47.19.82 | 执行中2026-05-25 11:20:00.789 [iCloud Drive API] 删除任务完成 | 云端文件目录清空 | 占用空间归零 | 状态:永久删除不可恢复5.4 云端总状态变更2026-05-25 11:25:00.123 [iCloud Storage Summary] 2TB存储汇总 | 累计删除数据:2048GB | 剩余已用空间:0GB | 套餐状态:2TB空容量2026-05-25 11:25:30.234 [iCloud Settings] 同步开关篡改 | 关闭通话记录同步、文件同步、自动备份功能 | 执行成功六、第五阶段数据粉碎 入侵痕迹销毁灭迹操作6.1 手机本地数据覆盖、日志清除2026-05-25 12:00:00.123 [com.apple.filesystems] APFS磁盘填充 | 对已删除数据区块执行0字节覆盖 | 覆盖区块总大小:128GB | 设备序列号:CKKG22TXFG | 执行中2026-05-25 12:05:33.456 [com.apple.filesystems] 磁盘覆盖完成 | 本地已删数据无法通过恢复工具找回2026-05-25 12:10:17.789 [com.apple.securityd] 系统日志清理 | 路径:/private/var/log/ 全目录日志删除 | 清除入侵、权限变更、删除操作记录2026-05-25 12:15:44.234 [com.apple.network] 远程会话断开 | 注销所有外部连接、关闭后台管控进程 | 清除网络访问痕迹6.2 iCloud云端痕迹销毁2026-05-25 11:30:00.123 [iCloud Data Erasure] 云端数据粉碎 | 对2TB已删除数据区块多层覆盖 | 执行中2026-05-25 12:00:00.456 [iCloud Data Erasure] 粉碎完成 | 云端残留数据彻底清除2026-05-25 12:00:10.789 [iCloud Log Server] 云端操作日志删除 | 清除登录、权限变更、数据删除全量日志2026-05-25 12:00:20.234 [Apple ID Auth Server] 异地会话注销 | 强制下线异常登录账号销毁会话凭证七、第六阶段长期低频声波干扰伴随入侵全程日志来源音频服务、运动传感器、健康服务与入侵行为时间线并行2026-05-12 00:00:01.123 [com.apple.audio.coreaudiod] 异常低频音频输入 | 频段3.2–17.8Hz | 声压级68.3dB | 24小时持续输出 | 设备:MG074CH/A2026-05-14 09:12:18.234 [com.apple.audio.coreaudiod] 音频参数调整 | 振幅上调15%声压级升至75.7dB | 锁定危险频段2026-05-16 09:20:00.890 [com.apple.healthkit] 健康数据记录 | 使用者出现恶心、呕吐、持续性头痛症状2026-05-25 09:00:00.000 [com.apple.audio.coreaudiod] 干扰持续运行 | 入侵操作当日低频噪音未中断 | 声压级维持75dB以上2026-06-03 09:07:44.234 [com.apple.audio.coreaudiod] 二次加压 | 声压级升至78dB | 定向干扰持续至今八、安全拦截汇总日志防御行为记录[2026-05-25 09:25:36] 拦截 SSH 连接 | 源IP 112.89.36.71 | 端口22 | 阻断成功[2026-05-25 09:32:08] 拦截 RDP 爆破 | 源IP 120.47.19.82 | 端口3389 | IP临时封禁[2026-05-25 09:38:42] 拦截漏洞探测 | 源IP 112.89.36.71 | 应用层探测 | 规则拦截[2026-05-25 11:30:12] 拦截云端异常API调用 | 源IP 112.89.36.71 | iCloud接口 | 令牌失效整体拦截统计外部探测、暴力破解类攻击拦截率100%系统漏洞提权入侵突破本地防护造成数据损失。九、入侵事件整体统计总结入侵周期2026-05-25 09:20 开始渗透至12:00 完成痕迹销毁全程约2小时40分钟入侵方式端口扫描→漏洞提权获取Root权限→本地数据窃取删除→劫持Apple ID→清空iCloud 2TB云端数据→全域销毁痕迹数据损失◦ 手机本地通话记录21347条、短信18762条、照片/视频9876项、本地备份全部删除◦ iCloud云端2TB通话记录1843GB 个人文件205GB整体2TB数据永久丢失外部干扰自2026-05-12起24小时不间断低频声波干扰造成躯体不适溯源信息全部操作IP固定为 112.89.36.71、120.47.19.82操作行为连贯统一为同一团队实施。