Google: Cloudangreb udnytter sårbarheder – ikke svage passwords

Eskil Sørensen
03.11.2026 10:53
Nye tal viser, at truslen i skyen har ændret karakter: 0-dagsudnyttelse accelererer og initial adgang sker hurtigere end nogensinde.

Hackere går i stigende grad efter fejl i tredjepartssoftware for at få fodfæste i cloudmiljøer. Det viser Googles seneste gennemgang af cloudtrusler i anden halvdel af 2025. Hvor kompromitterede legitimationsoplysninger længe var den primære indgangsvektor, er billedet i dag vendt: 44,5 pct. af alle undersøgte brud skyldtes udnyttelse af softwarefejl, mens svage eller stjålne credentials nu kun fylder 27 pct.

Det skriver Bleeping Computer. 

Et nyt tempo: Fra offentliggjort sårbarhed til angreb på få dage

Googles incident responders peger på ét særligt mønster: Den tid, det tager fra en sårbarhed bliver offentliggjort, til den bliver aktivt udnyttet i cloudmiljøer, er stort set kollapset. Fra uger til dage — og i nogle tilfælde mindre end 48 timer.

Især to sager nævnes:

  • React2Shell (CVE‑2025‑55182) – en RCE‑fejl, massivt udnyttet kort efter disclosure
  • XWiki (CVE‑2025‑24893) – misbrugt i RondoDox-angreb, der hurtigt blev rutine i automatiserede botnetflows

Udviklingen vidner om, at angriberne har modne pipelines til at omsætte nye sårbarheder til brugbare exploits. I praksis betyder det, som vi også har beskrevet tidligere, at timingen er blevet en kritisk faktor og at klassisk patch‑management ikke længere er nok.

Cyberkriminelle og spioner deler arbejdsmetoder

Et anden interessant tendens, som Google dokumenterer, er, at at både statssponsorerede aktører og økonomisk motiverede grupper i stigende grad kombinerer tekniske sårbarheder med kompromitterede identiteter.

Eksemplerne spænder fra:

  • Phishing og vishing, hvor angribere udgiver sig for helpdesk‑personale
  • Langvarig stealth‑adgang, hvor målet er at udtrække store datamængder uden afpresning
  • Malware i cloud-administration og vCenter‑platforme, især set hos kinesiske grupper

Google beskriver en rækkes cases:

  • En iransk gruppe havde i over 24 måneder adgang til et cloudmiljø via stjålne VPN‑legitimationsoplysninger og malware‑toolkittet MiniBike. Resultatet: Tyveri af næsten 1 TB proprietære data.
  • En kinesisk gruppe brugte BrickStorm‑malware til at opretholde adgang i 18 måneder til vCenter og stjæle kildekode. En klassisk supply‑chain-lignende profil i et rent cloudmiljø.
  • En nordkoreansk gruppe brugte falske identiteter til at få job i internationale virksomheder. Målet: Generere penge til regimet gennem adgang til cloudressourcer.

En anden gruppe fra Nordkorea gennemførte et angreb, hvor en udvikler blev narret til at hente en “open source collaboration package” - som i virkeligheden indeholdt Python-malware. Og ved hjælp af AirDrop-overførsel, et falsk Kubernetes‑CLI‑værktøj og en kæde af cloudpivots og fejlkonfigurationer lykkedes det gruppen at skaffe sig adgang til både CI/CD‑tokens og følsomme kundedata. Resultatet: Tyveri af flere millioner dollars i kryptovaluta.

OIDC-misbrug og supply‑chain-angreb i CI/CD‑kæden

Googles rapport beskriver også en sag, hvor et enkelt kompromitteret npm‑pakkenavn, QuietVault, førte til:

  • Kompromittering af GitHub‑tokens
  • Oprettelse af nye cloud‑administratorer via OIDC‑tillid
  • Udnyttelse af CI/CD‑pipelines til at hente AWS‑nøgler
  • Sletning af S3‑data og ødelæggelse af produktionsmiljøer

Angrebet hænger sammen med det større s1ngularity‑supply‑chain-angreb, hvor over 2.180 konti og 7.200 repositories fik lækket deres credentials.

Insidere foretrækker nu cloudtjenester frem for e-mail

Google har analyseret 1.002 interne datatyverier, hvoraf:

  • 771 blev begået af medarbejdere før de stoppede
  • 255 blev begået efter endt ansættelse

Hvor e-mail tidligere var favoritkanalen, ser man nu stigende brug af AWS, Google Cloud, Azure, OneDrive, iCloud, Dropbox m.fl.

De giver mere plads, mindre overvågning – og er lettere at gemme spor i.

Google konkluderer, at skyangreb i dag kan udfolde sig hurtigere, end en SOC‑analytiker kan nå at logge ind.

Nogle payloads bliver installeret inden for en time efter en ny cloudinstans oprettes.

Derfor anbefaler Google en større grad af:

  • automatiseret hændelseshåndtering
  • forebyggende blokering af uautoriserede identiteter
  • runtime‑detektion af container‑misbrug
  • hurtig lukning af nyfortrudte porte og tokens

: Google forventer, at trusselsaktiviteten kun går opad i 2026 — i takt med geopolitiske spændinger, sportsbegivenheder og politiske valg, der giver angribere nye motiver og nye mål.

Læs mere

Information