Уязвимости ПО вытесняют кражу учетных данных в атаках на облачные системы
Вторжения в облачные системы происходят по всё более сжатым графикам, при этом злоумышленники всё чаще полагаются на непропатченное программное обеспечение и скомпрометированные учётные данные.
Распределение векторов первоначального доступа, использованных в Google Cloud во второй половине 2025 года (Источник: Google)
Отчёт Google Cloud "Обзор облачных угроз" за первое полугодие 2026 года отражает данные реагирования на инциденты и разведки за вторую половину 2025 года и показывает, как меняются методы получения доступа и цели атак в облачных и SaaS-средах.
Уязвимости стороннего ПО обогнали компрометацию учётных данных
Непропатченные сторонние приложения стали основным путём первоначального доступа в наблюдаемых инцидентах в Google Cloud. Уязвимости программного обеспечения обошли слабые или отсутствующие учётные данные, что знаменует сдвиг от более ранних моделей вторжений, которые в большей степени опирались на повторное использование паролей и ошибки конфигурации.
Злоумышленники нацеливались на приложения, доступные извне, и известные уязвимости, которые можно было эксплуатировать с минимальным взаимодействием. Удалённое выполнение кода составило значительную часть этого доступа через ПО, что отражает автоматизированную эксплуатацию уязвимостей на уровне приложений и интернет-сервисов.
Окно между раскрытием уязвимости и её массовой эксплуатацией сократилось с недель до дней: угрозы начали развёртывать майнеры криптовалюты XMRig примерно через 48 часов после публичного раскрытия информации.
Компрометация учётных данных оставалась распространённым явлением, а ошибки конфигурации продолжали открывать доступ к незащищённым системам. Лидирующая позиция эксплуатации уязвимостей ПО повышает важность безопасности приложений, циклов обновлений и усиления защиты публичных сервисов.
"Самая пугающая часть этого отчёта — наблюдать за таким ростом числа атак через стороннее программное обеспечение, и мы должны рассматривать атаки на основе ИИ как основной фактор, способствующий этому. Враждебные организации используют инструменты для поиска и эксплуатации слабых мест в критически важном, часто открытом программном обеспечении, на котором построены все современные стеки, и ИИ теперь играет в этом огромную роль. Однако не всё так плохо, поскольку сократилось число организаций, оставляющих ключи под цветочным горшком, и наблюдается рост лучшей гигиены работы с учётными данными", — заявил Мэтт Сондерс, вице-президент по DevOps в Adaptavist, в комментарии для Help Net Security.
Целенаправленные атаки на периметр идентификации через вишинг и кражу токенов
Компрометация идентификации продолжала лежать в основе большинства вторжений, затрагивающих облачные и SaaS-среды. Злоумышленники полагались на социальную инженерию и похищенные данные аутентификации для перемещения по доверенным каналам доступа.
Голосовой фишинг сыграл ключевую роль. Злоумышленники выдавали себя за внутренних сотрудников и техническую поддержку, чтобы оказать давление на службы помощи и пользователей, заставляя их сбрасывать учетные данные и изменять настройки MFA. Эти взаимодействия обеспечивали доступ, который выглядел легитимным внутри систем идентификации.
Кража токенов также была широко распространена. Скомпрометированные OAuth-токены и другие артефакты аутентификации, связанные со сторонними приложениями, позволяли получать доступ без традиционных событий входа в систему. Этот путь обеспечивал масштабный доступ к данным с использованием валидных сессий, привязанных к доверенным интеграциям.
Электронный фишинг оставался активным, часто в сочетании со сбором учетных данных и тактикой усталости от MFA. Украденные идентификаторы также включали нечеловеческие учетные данные, такие как ключи сервисных аккаунтов и токены разработчиков, скомпрометированные в более ранних инцидентах или незащищенных репозиториях.
Вредоносные инсайдеры смещают кражу данных в сторону облачного хранилища
Деятельность инсайдеров продолжала сосредотачиваться на эксфильтрации данных. Анализ случаев злонамеренных действий инсайдеров показал, что кража данных является доминирующей формой нарушений, затрагивающей большинство изученных инцидентов.
Облачные сервисы играли растущую роль в том, как инсайдеры извлекали информацию. Корпоративные облачные среды и личные облачные хранилища стали распространенными пунктами назначения для конфиденциальных данных.
Эксфильтрация часто происходила во время трудоустройства, с дополнительными инцидентами после того, как люди покидали свои организации. Некоторые инсайдеры получали доступ и извлекали данные в оба периода.
Множественные методы эксфильтрации появлялись часто. Многие инциденты включали инсайдеров, использующих более одного пути, например, комбинируя электронную почту с облачным хранилищем или съемными носителями.
Личные облачные хранилища фигурировали в значительной доле случаев. Некоторые инсайдеры полагались на несколько облачных платформ для перемещения данных за пределы организационного контроля.
Электронная почта оставалась основным путем в исторической выборке, но ее использование со временем сократилось. Независимые от платформы облачные сервисы представляли собой самый быстрорастущий метод и, по прогнозам, станут основным каналом для кражи данных инсайдерами.
Северокорейские акторы используют Kubernetes в качестве оружия для кражи криптовалюты
Государственная деятельность, связанная с северокорейскими акторами, включала кампанию, которая перешла от компрометации конечных точек в облачную инфраструктуру и рабочие нагрузки Kubernetes. Операция полагалась на социальную инженерию, злоупотребление доверенными рабочими процессами и методы "живучести в облаке" для доступа к финансовым системам.
Злоумышленники получили первоначальный доступ через рабочую станцию разработчика, используя вредоносное приложение. Используя активные сессии аутентификации и доступные учетные данные, они переместились в облачные ресурсы. Разведка была сосредоточена на вычислительных экземплярах, бастион-хостах и контейнерных рабочих нагрузках.
Механизмы сохранения доступа были созданы путем изменения конфигураций развертывания Kubernetes, чтобы вновь создаваемые поды выполняли команды под контролем атакующих. Дополнительные изменения затронули ресурсы, связанные с CI/CD, для раскрытия токенов сервисных учетных записей в журналах.
Похищенные токены сервисных учетных записей с высокими привилегиями позволили повысить уровень прав и переместиться в чувствительные системы. Доступ был получен к рабочим нагрузкам, отвечающим за идентификацию пользователей и финансовые операции.
Злоумышленники извлекли учетные данные базы данных, небезопасно хранившиеся в переменных окружения, и использовали их для доступа к производственным базам данных. Контроль над учетными записями был изменен, что позволило получить несанкционированный доступ к ценным пользовательским аккаунтам и финансовым системам. Кампания завершилась кражей криптовалюты на многомиллионную сумму.
Техники компрометации цепочки поставок с использованием ИИ выходят на первый план
Исследование инцидента показывает, как компрометация цепочки поставок и отношения доверия идентификаторов могут эскалировать от инструментов разработчика до контроля над производственным облаком. Атака началась со скомпрометированного пакета Node Package Manager, который выполнял вредоносный код и собирал данные окружения и токены аутентификации с рабочей станции разработчика.
Похищенный персональный токен доступа GitHub позволил получить несанкционированный доступ к репозиториям исходного кода организации. Затем злоумышленник злоупотребил отношением доверия OpenID Connect между GitHub и облаком, чтобы получить временные облачные учетные данные.
Излишне разрешительная облачная роль позволила развернуть новую инфраструктуру и создать административные привилегии. Повышение уровня прав обеспечило доступ к производственным ресурсам, эксфильтрацию данных и деструктивные действия в облачной среде.
Вредоносное ПО также использовало инструмент LLM на скомпрометированной конечной точке для идентификации интересующих файлов, демонстрируя, как инструменты ИИ могут помогать в обнаружении учетных данных и разведке окружения во время вторжений.
Сондерс отметил, что активность в цепочках поставок растёт как по частоте, так и по масштабу последствий. «Отчёт демонстрирует, что атаки на цепочки поставок также учащаются. Злоумышленники внедряют вредоносный код в доверенные ресурсы, позволяя этим атакам распространяться по конвейерам, чтобы в конечном итоге похитить или уничтожить данные, иронично используя собственные автоматизированные системы жертвы для извлечения выгоды. Фаззинг стал значительно проще благодаря способности генеративного ИИ изучать контекст потенциального вектора уязвимости, поэтому неудивительно, что количество таких атак возросло».
Он добавил, что оборонительная позиция требует корректировки. «Для противодействия этому организациям необходимо успевать за этими методами, а также ограничивать потенциальный радиус поражения от любой возможной атаки. Подходы безопасности с нулевым доверием важны как никогда, они гарантируют, что системы, которые могут быть использованы для транспортировки атаки, работают с минимально необходимыми привилегиями. Также критически важен отлаженный процесс управления инцидентами для реагирования на потенциальные угрозы и реальные атаки.
«Однако давление, требующее выпускать программное обеспечение быстрее и безопаснее, никогда не прекращается, и всем необходимо усилить автоматизацию управления для отслеживания изменений, включая уязвимости, потенциальные пути атак и самих хакеров, пытающихся проникнуть внутрь. Просто наложить это сверху уже недостаточно; это должно стать стандартной практикой для всех», — подытожил Сондерс.