g0106-rocke - RunkIntel

# Rocke > [!warning] **Rocke** é um grupo de ameaça atribuído a **China**. ## Descrição Rocke é um suposto adversário de língua chinesa cujo objetivo principal parece ser o cryptojacking - ou sejá, o roubo de recursos dos sistemas das vítimas para fins de mineração de criptomoedas. O nome Rocke vem do endereço de e-mail "[email protected]" utilizado para criar a carteira que armazenava as criptomoedas coletadas. Pesquisadores detectaram sobreposições entre o Rocke e o Iron Cybercrime Group, embora essa atribuição não tenha sido confirmada. ### Attack Flow (Kill Chain) ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1102-web-service|T1102 - Web Service]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1496-001-compute-hijacking|T1496.001 - Compute Hijacking]] - [[t1027-004-compile-after-delivery|T1027.004 - Compile After Delivery]] - [[t1574-006-dynamic-linker-hijacking|T1574.006 - Dynamic Linker Hijacking]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1053-003-cron|T1053.003 - Cron]] - [[t1059-006-python|T1059.006 - Python]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1055-002-portable-executable-injection|T1055.002 - Portable Executable Injection]] - [[t1102-001-dead-drop-resolver|T1102.001 - Dead Drop Resolver]] - [[t1037-boot-or-logon-initialization-scripts|T1037 - Boot or Logon Initialization Scripts]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] ## Relevância para o Brasil e LATAM Rocke é uma ameaça GLOBAL de cryptojacking que afeta datacenters, nuvem corporativa e infraestrutura IT brasileira indiscriminadamente. Seu foco em recursos computacionais (não dados sensíveis) e uso de rootkits sofisticados o torna ameaça contínua para cloud providers, ISPs e hospedagens brasileiras. Impacto financeiro indireto via consumo de recursos e degradação de performance. Implementar detecção de cron anomalista, linker hijacking em Linux, e monitoramento de processo de mineração em larga escala. --- *Fonte: [MITRE ATT&CK - G0106](https://attack.mitre.org/groups/G0106)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.