Rocke

APT / EstatalG0106
OrigemChina
Técnicas (MITRE ATT&CK)36
FonteMITRE ATT&CK

Análise Vexday

Rocke é um adversário de origem chinesa cujo principal objetivo identificado é o cryptojacking — isto é, o uso não autorizado de recursos computacionais das vítimas para mineração de criptomoedas. O nome do grupo deriva do endereço de e-mail "rocke@live.cn", utilizado para criar a carteira onde as criptomoedas obtidas eram armazenadas. Pesquisadores identificaram sobreposições entre o Rocke e o Iron Cybercrime Group, embora essa atribuição não tenha sido confirmada. O grupo está catalogado no MITRE ATT&CK como G0106, com 36 técnicas documentadas e 4 CVEs atribuídas à sua atuação.

Técnicas (MITRE ATT&CK) 36

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Acesso inicial
Exploit Public-Facing Application
Execução
CronUnix ShellPython
Persistência
Boot or Logon Initialization ScriptsSystemd ServiceRegistry Run Keys / Startup Folder
Acesso a credenciais
Private Keys
Descoberta
Remote System DiscoveryNetwork Service DiscoveryProcess DiscoverySystem Information DiscoverySecurity Software Discovery
Movimento lateral
SSH
Comando e controle
Application Layer ProtocolWeb ProtocolsWeb ServiceDead Drop ResolverIngress Tool TransferNon-Standard Port
Impacto
Compute Hijacking
defense-impairment
Linux and Mac PermissionsDisable or Modify ToolsClear Linux or Mac System LogsDisable or Modify System Firewall
stealth
RootkitObfuscated Files or InformationSoftware PackingCompile After DeliveryMatch Legitimate Resource Name or LocationPortable Executable InjectionFile DeletionTimestompDeobfuscate/Decode Files or InformationHidden Files and DirectoriesDynamic Linker Hijacking

Vulnerabilidades exploradas 4

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2017-10271HIGHEPSS 100%KEVCVE-2014-7169CRITICALEPSS 100%KEVCVE-2017-3066CRITICALEPSS 91%KEVCVE-2016-6662EPSS 68%

O grupo Rocke usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →