گزارش گوگل: اکسپلویت‌ها مهم‌ترین راه نفوذ به کلود

کمیته رکن چهارم – گزارش جدید Google Cloud Threat Intelligence نشان می‌دهد مهاجمان سایبری به‌طور فزاینده‌ای از آسیب‌پذیری‌های تازه افشاشده در نرم‌افزارهای شخص ثالث برای دسترسی اولیه به محیط‌های ابری استفاده می‌کنند؛ به‌گونه‌ای که زمان لازم برای سوءاستفاده از این نقص‌ها از چند هفته به تنها چند روز کاهش یافته است.

به گزارش کمیته رکن چهارم، بررسی حوادث امنیتی نشان می‌دهد ۴۴.۵ درصد از نفوذها از طریق بهره‌برداری از آسیب‌پذیری‌ها انجام شده و ۲۷ درصد نیز ناشی از سرقت یا سوءاستفاده از اعتبارنامه‌ها بوده است. در میان این آسیب‌پذیری‌ها، نقص‌های اجرای کد از راه دور (RCE) بیشترین سهم را در حملات داشته‌اند.

نمونه‌هایی از این آسیب‌پذیری‌ها شامل React2Shell (CVE-2025-55182) و XWiki (CVE-2025-24893) هستند که در حملات بات‌نت RondoDox مورد سوءاستفاده قرار گرفته‌اند.

گوگل اعلام کرده فاصله بین افشای آسیب‌پذیری و بهره‌برداری عملی از آن به‌شدت کاهش یافته است. در برخی موارد، مهاجمان تنها ۴۸ ساعت پس از انتشار اطلاعات یک آسیب‌پذیری، ماینرهای رمزارز را در سیستم‌های قربانی مستقر کرده‌اند.

در بسیاری از حملات بررسی‌شده، هدف مهاجمان سرقت مخفیانه داده‌ها و حفظ دسترسی طولانی‌مدت بوده است. برخی عملیات جاسوسی مرتبط با ایران و چین حتی بیش از ۱۸ ماه در شبکه قربانیان باقی مانده‌اند.

برای نمونه، گروه UNC1549 که به ایران نسبت داده می‌شود با استفاده از اعتبارنامه‌های VPN سرقت‌شده و بدافزار MiniBike بیش از دو سال به یک محیط سازمانی دسترسی داشت و نزدیک به یک ترابایت داده محرمانه را سرقت کرد. همچنین گروه UNC5221 که با چین مرتبط دانسته می‌شود با بدافزار BrickStorm دست‌کم ۱۸ ماه به سرورهای VMware vCenter دسترسی داشته و کد منبع شرکت قربانی را استخراج کرده است.

گزارش گوگل همچنین به فعالیت هکرهای کره شمالی اشاره می‌کند. گروه UNC5267 با هویت‌های جعلی به‌عنوان کارمند IT از راه دور در شرکت‌ها استخدام می‌شود، در حالی که گروه UNC4899 زیرساخت‌های ابری را برای سرقت دارایی‌های رمزارزی هدف قرار می‌دهد.

در یکی از این حملات، مهاجمان یک توسعه‌دهنده را فریب دادند تا یک آرشیو مخرب را به‌عنوان بخشی از همکاری در یک پروژه متن‌باز دانلود کند. این فایل حاوی کد مخرب Python بود که یک باینری جعلی به‌عنوان ابزار Kubernetes CLI نصب می‌کرد و به‌عنوان درِ پشتی با سرورهای مهاجم ارتباط برقرار می‌کرد.

پس از نفوذ اولیه، مهاجمان با انجام عملیات شناسایی در Kubernetes، یک توکن CI/CD با دسترسی بالا را به دست آوردند و در نهایت با خروج از کانتینرها و نصب درِ پشتی، به سیستم‌های ذخیره داده دسترسی پیدا کردند و چند میلیون دلار رمزارز را سرقت کردند.

در حمله دیگری نیز مهاجمان از یک پکیج مخرب npm به نام QuietVault برای سرقت توکن GitHub یک توسعه‌دهنده استفاده کردند و از اعتماد GitHub به AWS از طریق OpenID Connect سوءاستفاده کردند. این حمله بخشی از عملیات زنجیره تأمین s1ngularity در سال ۲۰۲۵ بود که به افشای داده‌های بیش از ۲۱۸۰ حساب کاربری و ۷۲۰۰ مخزن کد منجر شد.

پژوهشگران همچنین هشدار داده‌اند که در بسیاری از حملات، مهاجمان برای جلوگیری از تحقیقات امنیتی اقدام به حذف لاگ‌ها، پاک کردن نسخه‌های پشتیبان و از بین بردن آثار دیجیتال می‌کنند.

گوگل تأکید کرده سرعت حملات در محیط‌های ابری به‌قدری افزایش یافته که استقرار payload گاهی کمتر از یک ساعت پس از ایجاد یک نمونه ابری انجام می‌شود. به همین دلیل سازمان‌ها باید از سامانه‌های پاسخ‌دهی خودکار به رخدادهای امنیتی استفاده کنند.