Мартовский отчёт Google Cloud Threat Horizons Report, основанный на наблюдениях за второй половиной 2025 года, описывает среду, в которой скорость атак принципиально изменилась. Если раньше у команд безопасности были недели на установку патча после публикации CVE, теперь счёт идёт на дни — а в ряде случаев на часы.
Основной вектор атак сместился от ядра облачной инфраструктуры к стороннему программному обеспечению. Сервисы уровня Google Cloud, Amazon Web Services и Microsoft Azure хорошо защищены и представляют собой трудную цель. Куда проще атаковать библиотеки и фреймворки, которые используют клиенты этих платформ, — особенно если патч вышел, но массово не развёрнут. Именно так произошло с уязвимостью CVE-2025-24893 в платформе XWiki: баг закрыли ещё в июне 2024 года, однако в ноябре 2025-го его начали активно эксплуатировать группы криптомайнеров, поскольку большинство инсталляций оставались необновлёнными. Атаки на React Server Components (CVE-2025-55182, известная как React2Shell) стартовали через 48 часов после публичного раскрытия уязвимости.
| Метод компрометации | Доля инцидентов |
|---|---|
| Компрометация доверенных сторонних отношений | 21% |
| Использование похищенных учётных данных | 21% |
| Голосовой фишинг (вишинг) | 17% |
| Email-фишинг | 12% |
| Неправильно настроенные активы инфраструктуры | 7% |
Отдельный эпизод в отчёте посвящён северокорейской группе UNC4899. Схема атаки строилась на социальной инженерии: разработчику предложили поучаствовать в open-source-проекте и скачать архив. Файл перекочевал с личного устройства на корпоративную рабочую станцию через AirDrop. Когда разработчик открыл архив в IDE с ИИ-ассистентом, встроенный Python-код выполнился автоматически — и запустил бинарный файл, замаскированный под утилиту командной строки Kubernetes. Бинарник установил соединение с серверами UNC4899 и создал бэкдор в корпоративной сети. В итоге группа получила доступ к Kubernetes-кластерам и похитила криптовалюту на миллионы долларов.
Атаки на React Server Components (CVE-2025-55182) начались через 48 часов после публикации уязвимости.
Другой задокументированный инцидент развернулся за 72 часа: скомпрометированный пакет в Node Package Manager украл GitHub-токен разработчика, через него получил доступ к Amazon Web Services, скачал файлы из S3-бакета и уничтожил оригиналы.
Помимо технических уязвимостей, отчёт фиксирует смещение в методах компрометации идентификации. Брутфорс слабых паролей уступает место более изощрённым техникам: 21% инцидентов связан с компрометацией доверенных сторонних отношений, ещё 21% — с использованием похищенных учётных данных людей и сервисных аккаунтов, 17% — с голосовым фишингом (вишингом), 12% — с email-фишингом. Отдельно упоминаются инсайдерские угрозы: сотрудники, подрядчики и стажёры всё активнее используют потребительские облачные хранилища — Google Drive, Dropbox, OneDrive, iCloud — для выноса корпоративных данных. Google называет этот канал «наиболее быстро растущим способом экзфильтрации данных».
Характерная черта современных атак — терпение. В 45% случаев взлом заканчивался кражей данных без немедленного требования выкупа: злоумышленники подолгу оставались незамеченными, накапливая доступ и информацию. Это меняет логику защиты: традиционный подход «обнаружить и отреагировать» работает хуже, когда атакующий намеренно не проявляет себя.
Для малого и среднего бизнеса Google формулирует четыре практических шага: автоматическое обновление всего стороннего ПО, внедрение многофакторной аутентификации и строгого управления доступом (IAM), мониторинг аномальной активности в сети — включая внутренние угрозы, — а также готовый план реагирования на инциденты. Компаниям без штатных специалистов по безопасности рекомендуется заранее выбрать managed service provider: искать подрядчика уже после успешной атаки значительно дороже и дольше.
