Google報告：雲端攻擊多利用軟體漏洞，而非弱密碼

駭客越來越常利用第三方軟體的新漏洞入侵雲端環境，攻擊時間已從數週縮短至數天。Google 報告指出，2025 年下半年因弱密碼或設定錯誤導致的入侵案例大幅減少。

根據 Google 的事件調查數據，44.5% 的入侵案件主要透過漏洞利用達成，而憑證竊取僅佔 27%。最常被利用的漏洞類型是遠端程式碼執行(RCE)，例如 React2Shell(CVE-2025-55182)和 XWiki 漏洞(CVE-2025-24893)，後者被用於 RondoDox 殭屍網路攻擊。

攻擊手法轉變的原因

Google 認為這種攻擊模式的轉變，可能源於企業加強了帳號和憑證的安全措施。Google 的預設安全策略和強化的憑證保護機制，成功阻擋了傳統較易利用的攻擊路徑，提高駭客的入侵門檻。

攻擊者現在能在漏洞揭露後 48 小時內部署加密貨幣挖礦程式，顯示駭客已做好準備，能快速將新漏洞武器化並整合到攻擊流程中。無論是國家支持的駭客組織，還是以獲利為目的的攻擊者，主要都透過網路釣魚和語音釣魚竊取身分憑證。在語音釣魚攻擊中，攻擊者會假冒 IT 服務台人員，藉此取得目標組織雲端平台的存取權限。

長期潛伏的間諜活動

在多數調查案件中，攻擊者的目標是悄悄竊取大量資料並長期潛伏，而非立即勒索。Google 特別指出與伊朗和中國有關的間諜活動，這些攻擊者在受害環境中維持存取權限超過一年半。

例如，伊朗駭客組織 UNC1549 利用竊取的 VPN 憑證和 MiniBike 惡意軟體，在目標環境中潛伏超過兩年，竊取了近 1TB 的專有資料。中國駭客組織 UNC5221 則使用 BrickStorm 惡意軟體，在受害者的 VMware vCenter 伺服器中維持至少 18 個月的存取權限，並竊取原始碼。

北韓駭客竊取數百萬美元

Google 將 2025 年下半年 3% 的入侵案件歸因於北韓 IT 集團(UNC5267)，他們使用假身分獲得工作機會，為政府創造收入。另一個北韓威脅組織 UNC4899 則專門入侵雲端環境以竊取數位資產。在一起案件中，UNC4899 以開源專案合作為藉口，誘騙開發人員下載惡意壓縮檔，成功竊取數百萬美元的加密貨幣。

開發人員使用 Airdrop 將檔案從個人電腦傳輸到企業工作站，並在 AI 輔助整合開發環境(IDE)中開啟。壓縮檔內含惡意 Python 程式碼，部署了偽裝成 Kubernetes 命令列工具的二進位檔。該程式連線到 UNC4899 控制的網域，作為後門讓攻擊者進入受害者的工作站，成功在企業網路中建立立足點。

UNC4899 接著轉向雲端環境進行偵察，探索 Kubernetes 叢集中的特定 pod，建立持久性存取，並取得高權限 CI/CD 服務帳號的權杖。這使他們能橫向移動到更敏感的系統，例如負責執行網路政策的 pod，進而突破容器限制並植入後門。

經過進一步偵察後，UNC4899 移動到處理客戶資訊的系統。該系統包含身分、帳號安全和加密貨幣錢包資料，並儲存了不安全的資料庫憑證。攻擊者利用這些資料入侵使用者帳號，成功竊取數百萬美元的加密貨幣。

延伸閱讀：AI 驅動惡意軟體時代來臨！Google 揭露可自我重寫程式碼的新型威脅

OpenID Connect濫用與供應鏈攻擊

在一起利用遭入侵 npm 套件 QuietVault 的攻擊中，攻擊者竊取開發人員的 GitHub 權杖，並利用 GitHub 到 AWS 的 OpenID Connect (OIDC) 信任關係，在雲端環境中建立新的管理員帳號。

QuietVault 在初始入侵後三天內，利用本地 AI 命令列介面工具的 AI 提示取得開發人員的 GitHub 和 NPM API 金鑰，濫用 CI/CD 管道取得組織的 AWS API 金鑰，從 S3 儲存空間竊取資料，最後在生產和雲端環境中銷毀資料。

這起事件是 2025 年 8 月「s1ngularity」供應鏈攻擊的一部分。當時攻擊者發布了遭入侵的 Nx 開源建置系統和 monorepo 管理工具 npm 套件。此次攻擊導致 2,180 個帳號和 7,200 個儲存庫的敏感資訊外洩，包括 GitHub 權杖、SSH 金鑰、設定檔和 npm 權杖。攻擊者將這些資料洩漏到名稱包含「s1ngularity」的公開 GitHub 儲存庫中。

閱讀更多：「s1ngularity」供應鏈攻擊鎖定 Nx 開發工具 超過八成受感染系統為 macOS

內部威脅偏好使用雲端服務

雖然電子郵件和可攜式儲存裝置仍是資料外洩的主要方式，但研究人員注意到內部人員越來越常使用 AWS、Google Cloud、Microsoft Azure、Google Drive、Apple iCloud、Dropbox 和 Microsoft OneDrive 等雲端服務。

這項結論來自對 1,002 起內部人員資料竊取事件的分析，其中 771 起發生在內部人員仍在職期間，255 起發生在離職之後。Google 表示，這種威脅已經嚴重到企業必須實施針對內外部威脅的資料保護機制，因為員工、承包商或顧問有時可能違反信任並竊取企業資料。

趨勢分析顯示，雲端服務很快將取代電子郵件，成為資料外洩的首選方法。研究人員報告指出，越來越多案例中，攻擊者會刪除備份、移除日誌檔案和清除數位鑑識證據，使證據和資料的復原變得更加困難。

防護建議

雲端攻擊速度過快，人工回應機制已無法有效應對。在某些案例中，攻擊者在新執行個體建立後一小時內就部署攻擊載荷，因此實施自動化事件回應已成為當務之急。

Google 預期今年威脅活動將會增加，因為地緣政治衝突、FIFA 世界盃和美國期中選舉將成為惡意行動的焦點，這些事件可能影響雲端安全趨勢。

本文轉載自 BleepingComputer。