Google示警雲端攻擊加速，漏洞利用已由數周縮短到數天

Google Cloud發布H1 2026版《Cloud Threat Horizons Report》，指出2025下半年雲端攻擊模式明顯轉變，漏洞公開到遭積極利用的時間，已由過去數周縮短到數天。該報告由Google Cloud資訊安全長辦公室、Google威脅情報小組與Mandiant Consulting等團隊彙整，揭露攻擊者越來越傾向鎖定第三方軟體漏洞、身分憑證與雲端自動化信任鏈，企業原本仰賴人工修補與事後調查的做法，已難跟上攻擊速度。

在Google Cloud觀察到的初始入侵案例中，第三方軟體漏洞占比已達44.5%，高於弱密碼或缺失憑證的27.2%，成為主要入口，研究人員強調，第三方軟體漏洞首次超越憑證問題。其中，遠端程式碼執行占比由2025上半年的2.9%升至下半年的13.6%，增幅接近5倍。Google並舉例指出，部分漏洞在公開後約48小時內，就已被用來部署加密貨幣挖礦程式，顯示出攻擊者利用公開漏洞的時間差正在快速縮小。

除了漏洞利用加速之外，報告另一個重要重點是身分相關攻擊升溫。依據Mandiant在2025下半年處理的重大雲端與SaaS事件，83%案件與身分問題有關，73%事件的主要目標是資料竊取。報告並指出，17%案例涉及語音社交工程。攻擊者一方面冒充員工，誘使IT服務臺重設帳密或調整多因素驗證設定，另一方面也會冒充IT服務臺，引導受害者授權合法工具，並藉由看似正常的帳號與API操作進行大規模資料外洩。

研究人員還點出，新的攻擊鏈已延伸到CI/CD流程與Kubernetes工作負載。Google揭露一宗由Mandiant處理的事件，攻擊者先透過遭竄改的NPM套件竊取開發者GitHub權杖，再濫用GitHub與AWS之間的OpenID Connect信任關係，在72小時內取得完整雲端管理權限，進一步竊取S3資料並破壞正式環境。

另一個案例則是北韓相關駭客組織UNC4899，從受害者工作站橫向移動到Google Cloud環境，修改Kubernetes部署、竊取高權限服務帳號權杖，之後透過Cloud SQL Auth Proxy存取正式資料庫，重設高價值帳號的密碼與MFA種子，最終竊取數百萬美元等值加密貨幣。

當公開漏洞從揭露到遭大規模利用的時間已由數周縮短到數天，Google認為，企業若仍依賴人工盤點、逐步修補與事後調查，會慢於攻擊者，因此認為修補、防護、日誌保全與事件回應需進一步自動化。