Rocke

APT / EstatalG0106
OrigenChina
Técnicas (MITRE ATT&CK)36
FuenteMITRE ATT&CK

Análisis Vexday

Rocke é um adversário de origem chinesa cujo principal objetivo identificado é o cryptojacking — isto é, o uso não autorizado de recursos computacionais das vítimas para mineração de criptomoedas. O nome do grupo deriva do endereço de e-mail "rocke@live.cn", utilizado para criar a carteira onde as criptomoedas obtidas eram armazenadas. Pesquisadores identificaram sobreposições entre o Rocke e o Iron Cybercrime Group, embora essa atribuição não tenha sido confirmada. O grupo está catalogado no MITRE ATT&CK como G0106, com 36 técnicas documentadas e 4 CVEs atribuídas à sua atuação.

Técnicas (MITRE ATT&CK) 36

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Acceso inicial
Exploit Public-Facing Application
Ejecución
CronUnix ShellPython
Persistencia
Boot or Logon Initialization ScriptsSystemd ServiceRegistry Run Keys / Startup Folder
Acceso a credenciales
Private Keys
Descubrimiento
Remote System DiscoveryNetwork Service DiscoveryProcess DiscoverySystem Information DiscoverySecurity Software Discovery
Movimiento lateral
SSH
Comando y control
Application Layer ProtocolWeb ProtocolsWeb ServiceDead Drop ResolverIngress Tool TransferNon-Standard Port
Impacto
Compute Hijacking
defense-impairment
Linux and Mac PermissionsDisable or Modify ToolsClear Linux or Mac System LogsDisable or Modify System Firewall
stealth
RootkitObfuscated Files or InformationSoftware PackingCompile After DeliveryMatch Legitimate Resource Name or LocationPortable Executable InjectionFile DeletionTimestompDeobfuscate/Decode Files or InformationHidden Files and DirectoriesDynamic Linker Hijacking

Vulnerabilidades explotadas 4

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2017-10271HIGHEPSS 100%KEVCVE-2014-7169CRITICALEPSS 100%KEVCVE-2017-3066CRITICALEPSS 91%KEVCVE-2016-6662EPSS 68%

El grupo Rocke usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →