Хакеры всё чаще используют уязвимости стороннего ПО для доступа к облакам, сокращая окно атаки до дней. Google отмечает снижение атак через слабые пароли. Эксплойты уязвимостей стали основным вектором доступа (44,5%), а RCE — самым частым типом. Отмечены случаи кражи миллионов криптовалюты северокорейскими хакерами. — bleepingcomputer.com
Хакеры всё чаще используют недавно обнаруженные уязвимости в стороннем программном обеспечении для получения первоначального доступа к облачным средам, при этом окно для атак сокращается с недель до нескольких дней.
В то же время, по данным Google, во втором полугодии 2025 года использование слабых учетных данных или некорректных настроек значительно снизилось, что отмечено в отчете, освещающем тенденции угроз для пользователей облачных сервисов.
Согласно отчету, специалисты по реагированию на инциденты установили, что эксплойты уязвимостей стали основным вектором доступа в 44,5% расследованных вторжений, в то время как учетные данные стали причиной 27% нарушений.
Наиболее частым типом уязвимости, используемой в атаках, является удаленное выполнение кода (RCE), среди которых выделяются React2Shell (CVE-2025-55182) и уязвимость XWiki, отслеживаемая как CVE-2025-24893, которая использовалась в атаках ботнета RondoDox.
Google полагает, что такое изменение фокуса, вероятно, связано с усилением мер безопасности для учетных записей и учетных данных.
«Мы считаем, что это изменение в поведении злоумышленников потенциально связано с тем, что стратегия Google по обеспечению безопасности по умолчанию и улучшенная защита учетных данных успешно закрыли традиционные, более легко эксплуатируемые пути, тем самым повысив барьер входа для злоумышленников», — заявляет Google.
Окно эксплуатации сократилось с недель до нескольких дней, поскольку Google зафиксировала развертывание майнеров криптовалюты в течение 48 часов после раскрытия уязвимости, что свидетельствует о высокой готовности хакеров использовать новые уязвимости и включать их в свои схемы атак.
Как спонсируемые государством, так и финансово мотивированные хакеры в основном использовали скомпрометированные учетные данные, применяя фишинг и вишинг с имитацией сотрудников ИТ-службы поддержки, для получения доступа к облачной платформе целевой организации.
В большинстве расследованных атак целью злоумышленника была скрытая эксфильтрация больших объемов данных без немедленного вымогательства и долгосрочного закрепления.
Google выделяет несколько шпионских кампаний, связанных со злоумышленниками из Ирана и Китая, которые сохраняли доступ к среде жертвы более полутора лет.
Более двух лет злоумышленник, связанный с Ираном, UNC1549 имел доступ к целевой среде, используя украденные учетные данные VPN и вредоносное ПО MiniBike. Это позволило хакерам похитить у жертвы почти один терабайт проприетарных данных.
В другом примере спонсируемый Китаем злоумышленник UNC5221 использовал вредоносное ПО BrickStorm для сохранения доступа к серверам VMware vCenter жертвы в течение как минимум 18 месяцев и кражи исходного кода.
Северокорейские хакеры похищают миллионы
Google относит 3% вторжений, проанализированных во втором полугодии 2025 года, к северокорейским ИТ-специалистам (UNC5267), использующим мошеннические удостоверения для получения работы и генерации дохода для правительства.
Другой северокорейский злоумышленник, отслеживаемый как UNC4899, компрометировал облачные среды специально для кражи цифровых активов. В одном из случаев UNC4899 похитил криптовалюту на миллионы долларов США, обманом заставив разработчика загрузить вредоносный архив под предлогом сотрудничества по проекту с открытым исходным кодом.
Затем разработчик использовал сервис Airdrop для передачи файла с личного компьютера на корпоративный рабочий компьютер и открыл его в интегрированной среде разработки (IDE) с поддержкой ИИ.
Внутри архива находился вредоносный код на Python, который развернул бинарный файл, маскирующийся под инструмент командной строки Kubernetes.
“Бинарный файл отправлял данные на домены, контролируемые UNC4899, и служил бэкдором, который предоставлял злоумышленникам доступ к рабочей станции жертвы, фактически давая им плацдарм в корпоративной сети”, — Google
На следующих этапах UNC4899 перешел в облачную среду и провел разведывательные действия, которые включали исследование конкретных подов в кластере Kubernetes, установление постоянства и «получение токена для учетной записи службы CI/CD с высокими привилегиями».
Это позволило им переместиться по сети на более чувствительные системы, такие как под, отвечающий за применение сетевых политик, что позволило им выйти из контейнера и внедрить бэкдор.
После дополнительной разведки UNC4899 перешел к системе, обрабатывающей информацию о клиентах (удостоверения, безопасность учетных записей, данные криптовалютных кошельков), и обнаружил небезопасно хранящиеся учетные данные базы данных.
Этих данных оказалось достаточно, чтобы злоумышленник скомпрометировал учетные записи пользователей и похитил криптовалюту на несколько миллионов долларов.
Злоупотребление OpenID Connect
В атаке с использованием скомпрометированного пакета npm под названием QuietVault злоумышленник похитил токен GitHub разработчика и использовал его для создания новой учетной записи администратора в облачной среде, злоупотребляя доверием GitHub-to-AWS OpenID Connect (OIDC).
Всего через три дня после первоначального компрометации QuietVault получил ключи API GitHub и NPM разработчика, используя подсказки ИИ с локальными инструментами командной строки ИИ, злоупотребил конвейером CI/CD для получения ключей API AWS организации, похитил данные из хранилища S3, а затем уничтожил их в производственной и облачной средах.
Инцидент стал частью атаки на цепочку поставок «s1ngularity» в августе 2025 года, когда злоумышленник опубликовал скомпрометированные пакеты npm системы сборки Nx и инструмента управления моном репозиторием.
В ходе атаки конфиденциальная информация (токены GitHub, SSH-ключи, конфигурационные файлы, токены npm) из 2180 учетных записей и 7200 репозиториев была раскрыта после того, как злоумышленник опубликовал их в общедоступных репозиториях GitHub, содержащих название «s1ngularity».
Внутренние злоумышленники предпочитают облачные сервисы
Хотя для эксфильтрации данных в основном использовались электронная почта и переносные устройства хранения данных, исследователи заметили, что инсайдеры всё чаще используют Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Google Drive, Apple iCloud, Dropbox и Microsoft OneDrive.
Вывод сделан после анализа 1002 инцидентов кражи данных инсайдерами, который показал, что 771 из них произошли, пока инсайдер всё ещё работал, и 255 — после прекращения его работы.
Google заявляет, что угроза достаточно серьезна, чтобы компании внедрили механизмы защиты данных как от внутренних, так и от внешних угроз. Сотрудник, подрядчик или консультант иногда могут нарушить доверие и в итоге украсть корпоративные данные.
Технологический гигант утверждает, что анализ тенденций показывает, что облачные сервисы скоро заменят электронную почту в качестве предпочтительного метода эксфильтрации информации.
Исследователи сообщают, что во всё большем числе случаев злоумышленники удаляют резервные копии, логи и криминалистические артефакты, чтобы затруднить восстановление улик и данных.
Google подчеркивает, что скорость облачных атак теперь слишком высока для ручных схем реагирования, иногда приводя к развертыванию полезной нагрузки в течение часа после создания нового экземпляра, что делает внедрение автоматизированного реагирования на инциденты срочным.
Что касается тенденций, которые могут определить безопасность облачных систем в этом году, Google ожидает роста активности угроз, поскольку геополитические конфликты, Чемпионат мира по футболу FIFA и промежуточные выборы в США послужат магнитами для вредоносных операций.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas