乐于分享
好东西不私藏

【震惊】苹果&特斯拉泄漏事件分析(附下载)

【震惊】苹果&特斯拉泄漏事件分析(附下载)

为了节省时间,公众号发送0612获得下载地址。

即使有链接,大部分人还是不会下载的,再次感慨下”九个困难的存在“。                                                                                                                      


以前人们一听到有数据,就伸手要链接;一听到要付费,又把手伸回去了。

可是这次泄露的是高贵的印度Tata Electronics –苹果公司最大的供应商,文件都是直接dump的,由著名组织WorldLeaks发布。

可以看到文件更新时间是6月12号,目前的Views 13215。

还是上了新闻之后访问才增多了,平时的浏览量不到1000。

这年头免费的数据都没人要了吗,而且技术细节也没人分享,这才是最令人难过的。


先来看数据分布

文件一共204341个,合计630.4 GB,观察到已经有专业人士在进行分析了,很快可以造出开源版“iPhone 18 Pro”

泄露文件清单:
– iPhone 18 Pro (V63/V64): 主板设计图、跌落测试图(2026 年初塔塔工厂实拍)、内部代号水印
– A20 Pro 芯片手册: 台积电 2nm 工艺 + WMCM 晶圆级多芯片模块封装(内存侧置)、NPU 物理面积增大
– C2 基带芯片文档: 苹果自研基带(弱信号优化 + 5G 卫星通信)
– iPhone Fold (V68): 折叠屏内部代号首次曝光
– 供应商-零件对应清单: 数百个零部件-供应商精确映射(首次泄露苹果完整供应链结构)
– 测试数据: 跌落/防水/AI 测试报告;中/美不同容量电池测试日志
– 运营数据: 员工护照扫描件、工作邮件与事件日志

根据文件类型统计

根据业务类型统计

看文件内容就预感到,这起事件本质上不是一次普通勒索软件事件,而是典型的制造供应链的情报级数据窃取事件,全球厂商都会遭到同类型攻击。


再来看时间线

时间

事件

2026年5月  

获得内部访问权限  

2026-06-10  

World Leaks在暗网发帖

2026-06-12  

World Leaks挂牌出售数据  

2026-06-22  

Reuters曝光事件 , Tata表示“生产系统未受影响”

2026-06-26  

Tata启动取证调查, Apple安全团队介入  

2026-06-29  

Reuters进一步验证文件真实性  

2026-07-01  

各路人士分析泄露文件  

这果然是印度公司风格,“所有文件泄露”等于“生产系统未受影响”。


World Leaks手法分析

翻遍了各个产品,都没找到什么有价值的信息,AI编写的又太假,与实战不符合。

只有一家把漏洞关联到CVE-2026-8932 (别用AI编故事了)

还好有 Darktrace ,提供了专业的入侵分析,披露了一次2025年10月实战的完整攻击链

让我们回到案发现场:

第一阶段:初始访问  

暴露面是一台FortiGate设备(你看买的设备是不是引入了新的安全风险)

利用被盗用的 administrator 账号进行暴力尝试(Brute Force),随后潜伏在内网。

第二阶段:横向移动  

获得权限后,攻击者没有立即操作,而且使用 系统原生工具(Living off the Land)-  PsExec、 WinRM 、 RDP、 SMB、 SSH,逐步获得域控权限。

第三阶段:内网侦察  

随后就是寻找有价值的文件,使用TCP扫描、UDP扫描、网络枚举、SMB共享发现、域环境发现

第四阶段:建立隐蔽控制通道

黑客都在使用Cloudflare Tunnel,利用CLoudflare建立C2通道,安全又可靠

region1.v2.argotunnel.com
region2.v2.argotunnel.com
h2.cftunnel.com

第五阶段:部署远程控制工具  

通过 SMB 推送

chromeremotedesktophost.msi  

随后使用Chrome Remote Desktop  

又是经典的知名合法软件,当着面远程都不会引起别人怀疑。

第六阶段:OpenSSH工具投放

域控推送

OpenSSHUtils.psm1
ssh-sk-helper.exe

建立备用的ssh后门

第七阶段:数据窃取

使用rclone/v1.69.0  上传数据至 MEGA/Backblaze  

MEGA也是大品牌,速度快+安全性高,实在是居家旅行,窃取数据,必备神器。

第八阶段:加密  

World Leaks的口号是 “不加密,只窃取数据”,实际上还是把文件加密了….这年头不加密估计没人肯付钱。

最后对比下,两者都是 制造业目标+长期潜伏 +横向移动+共享盘枚举,剩下的详情等披露再看咯。

特征

Darktrace案例

Tata事件

制造业目标

长时间潜伏

3个月

1个月?

大规模文件收集

云端外传

MEGA

??

使用合法工具

PsExec/RDP/SSH

??

数据勒索


World Leaks风格分析

World Leaks的官网风格很侘寂 ,让我对他们产生了兴趣。

如果TeamPCP是一群疯魔的小朋友,那World Leaks就是典型的西装暴徒,可能带着眼镜,还会对你微笑。

这种温柔的外表下隐藏着一颗不安分的心,女生可不能被骗了🙂

让我们来看看里面的细节吧

1、整体布局清晰

左边有不同时区和页面统计,仿佛回到了古老的论坛时代;

右边是核心数据展示,包含了公开状态、公司信息和时间描述,表达简洁又清晰,还能看到这些公司市值,是多么的有钱!

右下角提供了分享按钮,方便大家一键分享到社交平台,和好友共享快乐。

2、文件浏览

贴心得把文件做成了网页盘符,方便大家寻找文件,并且提供了文件清单,有对应的路径和文件名。

3、高亮内容

为了防止大家看不过来,特意把个人信息相关的放到高亮内容中,一键就能获得敏感数据。

4、记者特权

如果你是记者,就能到注册账号,提前获得数据;这样报社就能获得新闻首发,领先全世界。

5、安全提示

还有专门的网站介绍,防止你在暗网被骗!一定要认准官网地址哦,没有任何其他合作伙伴!

6、断点续传

这个功能让我感动,下载大文件再也不怕中断啦

7、支付便捷

付款过的朋友表示真的很方便,点击付款选项后,根据生成的钱包地址,付款后记录就被清理了,真的就像没有泄露过一样哦。


有IOC才显得专业

193.161.193.99

51.15.109.222

45.227.253.139

45.227.254.128

195.66.213.218

region1.v2.argotunnel.com

region2.v2.argotunnel.com

backblazeb2.com

h2.cftunnel.com

gfs302n520.userstorage.mega.co.nz


一些猜想

希望有人能去知乎回答一下问题,别总是把幻想当成现实,现实又当成故事了。

根据年度统计数据,勒索事件也在进化中:

  • 2025年攻击事件同比上涨 50%
  • 支付意愿从2024年的62.8%降低到28.8% (不付钱数据就公开了)
  • 支付的赎金中位数增长了367%

随着AI技术的发展,基础问题反而会越来越严重,投毒勒索成为家常便饭,该如何应对这个挑战呢。

参考链接:

苹果供应链的“印度堡垒”为何一触即溃

https://www.huxiu.com/article/4872247.html

World Leaks技术分析

https://www.darktrace.com/blog/when-reality-diverges-from-the-playbook-darktrace-identifies-encryption-in-a-world-leaks-ransomware-attack