駭客越來越多地利用第三方軟體中新揭露的漏洞來獲取對雲端環境的初始存取權限，攻擊視窗期從幾週縮短到幾天。同時，Google在一份重點介紹雲端用戶威脅趨勢的報告中指出，2025 年下半年使用弱憑證或錯誤配置的情況已大幅下降。

根據該報告，事件回應人員確定，在 44.5% 的調查入侵事件中，漏洞利用是主要存取途徑，而憑證洩漏是 27% 的洩漏事件的原因。

攻擊中最常利用的漏洞類型是遠端執行程式碼 (RCE)，其中最突出的漏洞是 React2Shell (CVE-2025-55182) 和被追蹤為 CVE-2025-24893 的 XWiki 漏洞，這些漏洞在RondoDox 殭屍網路攻擊中被利用。谷歌認為，這種關注點的轉變很可能是由於帳戶和憑證的安全措施加強所致。

Google表示：我們評估認為，威脅行為者的這種行為變化可能是由於谷歌的默認安全策略和增強的憑證保護成功地關閉了傳統的、更容易被利用的途徑，提高了威脅行為者的准入門檻。漏洞利用視窗已從數週縮短至數天，Google觀察到加密貨幣挖礦程式在漏洞披露後 48 小時內就被部署，這表明駭客已做好充分準備，將新漏洞武器化並將其融入攻擊流程中。

無論是國家支持的攻擊者還是以經濟利益為目的的駭客，大多利用被盜用的身份，透過網路釣魚和語音釣魚冒充 IT 服務台人員，來獲取對目標組織雲端平台的存取權限。在大多數已調查的攻擊中，攻擊者的目標是在不立即進行勒索和長期持續的情況下悄無聲息地竊取大量資料。

結論是在分析了 1002 起內部資料竊取事件後得出的，分析結果顯示，其中 771 起發生在內部人員仍在職期間，255 起發生在內部人員離職之後。谷歌表示，這種威脅非常嚴重，企業必須實施資料保護機制，以應對內部和外部威脅。員工、承包商或顧問有時可能會辜負信任，最終竊取公司資料。

谷歌表示，趨勢分析表明，雲端服務很快就會取代電子郵件，成為資訊外洩的首選方式。研究人員報告稱，在越來越多的案例中，攻擊者會刪除備份、移除日誌檔案並清除取證痕跡，以使證據和資料的復原更加困難。

谷歌強調，雲端攻擊的速度現在太快，人工回應方案無法應對，有時會導致有效載荷在新實例創建後一小時內部署，因此實施自動化事件回應迫在眉睫。

資料來源：https://www.bleepingcomputer.com/news/security/google-cloud-attacks-exploit-flaws-more-than-weak-credentials/