jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Container and Resource Discovery

Container and Resource Discovery

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • Enumeración de APIs: Accesando endpoints de Docker o Kubernetes para obtener información sobre pods, imágenes, nodos y otros recursos.
  • Exploración web: Utilizando interfaces gráficas como el Kubernetes Dashboard para identificar componentes sensibles del clúster.
  • Análisis de logs: Revisando registros de contenedores o sistemas que podrían revelar detalles sobre la arquitectura y configuración del entorno.
  • Grupos de ciberdelincuencia: Para identificar vulnerabilidades en entornos de contenedores.
  • Nefaros: Para mapear infraestructuras en redes privadas o públicas.

Container and Resource Discovery

Descripción de la Tecnica

Container and Resource Discovery es una técnica del MITRE ATT&CK que describe cómo los actores adversarios intentan identificar y explorar recursos disponibles dentro de un entorno de contenedores. Estos recursos incluyen, pero no se limitan a, imágenes, despliegues, pods, nodos y otros elementos críticos del entorno de Kubernetes o Docker.

La técnica puede ser realizada mediante herramientas como el Kubernetes Dashboard, APIs de Docker o Kubernetes, o incluso por medio de logfiles que podrían revelar información sobre la infraestructura. Este comportamiento está relacionado con el MITRE T1613, que aborda la enumeración de recursos en entornos de contenedores.

Como Funciona

Los actores adversarios utilizan técnicas como:

  • Enumeración de APIs: Accesando endpoints de Docker o Kubernetes para obtener información sobre pods, imágenes, nodos y otros recursos.
  • Exploración web: Utilizando interfaces gráficas como el Kubernetes Dashboard para identificar componentes sensibles del clúster.
  • Análisis de logs: Revisando registros de contenedores o sistemas que podrían revelar detalles sobre la arquitectura y configuración del entorno.

Actores que la Utilizan

Esta técnica es empleada por múltiples actores adversarios, incluyendo pero no limitado a:

  • Grupos de ciberdelincuencia: Para identificar vulnerabilidades en entornos de contenedores.
  • Nefaros: Para mapear infraestructuras en redes privadas o públicas.
  • Ciberataques de Estado: Para planificación de operaciones de supply chain o initial access.

Detección

La detección implica monitorear actividades anómalas en APIs de contenedores, comportamientos inusuales en el Kubernetes Dashboard, y la presencia de accesos no autorizados a recursos críticos. Herramientas como kubectl, docker inspect o análisis de logs pueden ayudar a identificar patrones sospechosos.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Las medidas de mitigación incluyen:

  • Restringir acceso a APIs de contenedores: Limitar accesos con credenciales fuertes y autenticación multifactorial.
  • Monitoreo en tiempo real: Implementar sistemas de detección basados en comportamiento anómalo (MBD) para identificar enumeraciones no autorizadas.
  • Seguridad de entornos de desarrollo: Evitar exponer interfaces gráficas como el Kubernetes Dashboard en redes públicas.
  • Actualización constante: Mantener actualizados los contenedores y herramientas de gestión para cerrar vulnerabilidades conocidas.
← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable