Rocke Group cybercrime groep onder de loep

08-08-2019 | door: Blogger

Rocke Group cybercrime groep onder de loep

Unit 42 is zes maanden bezig geweest met onderzoek naar de in China gevestigde cybercrimegroep Rocke. Dit is de meest bekende dreigingsactor die zich bezighoudt met cryptominingactiviteiten gericht op de cloud. In ons recente rapport over cloudbedreigingen hebben we de belangrijkste resultaten van ons onderzoek naar Rocke bekendgemaakt. Het onderzoeksrapport, dat een diepgaand inzicht in ons onderzoek naar Rocke biedt, heeft geleid tot de conclusie dat de groep in staat is om met geringe verstoring en een minimaal risico op ontdekking haar activiteiten uit te voeren.

Door het analyseren van NetFlow-gegevens tussen december 2018 en 16 juni 2019 ontdekten we dat 28,1% van de door ons onderzochte cloudomgevingen minimaal één volledig tot stand gebrachte netwerkverbinding had met minimaal één bekend command-and-control-domein (C2) van Rocke. Verschillende van deze organisaties onderhielden vrijwel dagelijkse verbindingen. Ondertussen onderhield 20% van de organisaties van uur tot uur heartbeats die pasten bij de tactieken, technieken en procedures (TTP’s) van Rocke.

De groep heeft ook een nieuwe tool uitgebracht met de naam Godlua. Deze tool kan functioneren als agent die het voor actoren van de groep mogelijk maakt om extra bewerkingsscripts uit te voeren, waaronder Denial of Service-aanvallen (DoS), netwerkverbindingen via een proxy en two-shell-mogelijkheden. Ook ontdekte Unit 42 binnen NetFlow-verkeer identificatiepatronen van netwerkverkeer die een uniek inzicht bieden in de TTP's van Rocke en de wijze waarop verdedigers detectiemogelijkheden kunnen ontwikkelen.

Introductie van Rocke

De activiteiten van Rocke, ook wel bekend als de Iron Group, SystemTen, Kerberods/Khugepageds en zelfs ex-Rocke, zijn voor het eerst gemeld in augustus 2018. Sindsdien schrijven onderzoekers in blogs dat Rocke gebruikmaakt van de programmeertaal Golang en de nieuwe achterdeur Godlua. Er bestaat een operationele blog waarin activiteiten van Rocke worden gelinkt aan het MITRE ATT&CK-framework. Verder heeft Unit 42 blogs gepubliceerd over het ransomwareprogramma Xbash van de groep alsmede hun methoden om cloudbeveiliging te omzeilen en cryptominingpraktijken uit te voeren.

Rocke werd aanvankelijk in verband gebracht met ransomwarecampagnes via het gebruik van het Linux-gerichte Xbash, een malwareprogramma dat gegevens vernietigt en dat qua functionaliteit vergelijkbaar is met NotPetya. NotPetya maakte gebruik van de EternalBlue-exploit om zich binnen een netwerk te verspreiden. Xbash voerde lateral movement uit door misbruik te maken van de bij gebrek aan patches kwetsbare plekken van een organisatie en het gebruik van zwakke wachtwoorden, waardoor het wellicht een beperkte effectiviteit had. Wanneer Rocke een organisatie chanteerde, werd van slachtoffers een betaling van 0,2, 0,15 of 0,02 bitcoin (BTC) geëist om de verloren gegevens te herstellen. Rocke was echter niet in staat om gegevens te herstellen, omdat Xbash databasetabellen verwijderde voordat het losgeld werd geëist. Op het moment dat Unit 42 hier melding van maakte, bevatte de bitcoinportemonnee van Rocke 0,964 BTC (op dit moment gelijk aan USD 10.130), afkomstig uit slechts 48 unieke transfers.

De cryptominingmethode van Rocke

Net als het malwareprogramma Xbash van Rocke waren ook de eerste cryptominingbewerkingen geschreven in Python en maakten deze gebruik van Pastebin of GitHub als codebron, van waaruit de eerste fase van de payload werd gedownload. Vanaf 12 maart 2019 begonnen actoren van Rocke ook gebruik te maken van Golang. De eerste fase van de payload gaf het systeem van het slachtoffer de instructie om verbinding te maken met een hard-coded domein of IP-adres van Rocke dat het downloaden van de tweede fase van de payload activeerde.

Unit 42 heeft een uit 12 stappen bestaande handelswijze waargenomen, die constant lijkt te zijn gebleven sinds voor het eerst melding werd gemaakt van Rocke:

  • Actor uploadt de eerste payload naar een website van een derde (bijv. Pastebin, GitHub).
  • Slachtoffer wordt overgehaald om naar Pastebin/GitHub te navigeren (bijv. door middel van spear phishing).
  • Er wordt misbruik gemaakt van een bekend beveiligingsprobleem (bijv. Oracle WebLogic, Adobe ColdFusion, Apache Struts).
  • Slachtoffer downloadt achterdeur (bijv. Shell Scripts, JavaScript Backdoor).
  • Slachtoffer voert de eerste payload uit via het Python- of Golang-script en maakt verbinding met de C2-server.
  • Het script van de tweede payload wordt gedownload en uitgevoerd, waardoor beheerderstoegang wordt verkregen tot het systeem.
  • Via cronjob-opdrachten wordt persistentie verkregen.
  • Er wordt gezocht naar eerder geïnstalleerde cryptominingprocessen. Deze worden beëindigd.
  • Er worden “IPtables”-regels toegevoegd om latere cryptominingprocessen te blokkeren.
  • Agentgebaseerde cloudbeveiligingsprogramma's (bijv. Tencent Cloud, Alibaba Cloud) worden verwijderd.
  • Miningsoftware Monero wordt gedownload en geïnstalleerd.
  • Rootkit XMRig voert miningprocessen uit vanuit Linux “ps” met behulp van “libprocesshider”.

Lees meer details op ce site van Unit 42.

Door: Nathaniel Quist, Senior Threat Researcher (Public Cloud Security - Unit 42) bij Palo Alto Networks

Terug naar nieuws overzicht
Security