g0108-blue-mockingbird

# Blue Mockingbird > [!warning] **Blue Mockingbird**. ## Descrição Blue Mockingbird é um cluster de atividade observada envolvendo payloads de mineração de criptomoeda Monero na forma de bibliotecas de vínculo dinâmico (DLL) em sistemas Windows. As ferramentas mais antigas do Blue Mockingbird identificadas até o momento foram criadas em dezembro de 2019. ### Attack Flow ## Técnicas Utilizadas - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1574-012-corprofiler|T1574.012 - COR_PROFILER]] - [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003 - Windows Management Instrumentation Event Subscription]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1090-proxy|T1090 - Proxy]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1134-access-token-manipulation|T1134 - Access Token Manipulation]] - [[t1496-001-compute-hijacking|T1496.001 - Compute Hijacking]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] ## Software Utilizado - [[s1144-frp|FRP]] - [[mimikatz|Mimikatz]] ## Relevância para o Brasil e LATAM Blue Mockingbird representa ameaça econômica direta para empresas brasileiras - roubo de recursos computacionais (CPU) reduz produtividade e aumenta custos de infraestrutura. Cluster ativo desde 2019 com acesso via RDP público permanece operacional, sugerindo capacidade duradoura. Risco elevado para centros de dados brasileiros com segmentação fraca e monitoramento de comportamento limitado. A dificuldade em diferenciação de legítimo processamento vs. criptomineração torna detecção desafiadora em ambientes heterogêneos. Recomenda-se auditoria de processos anormais em data centers e implementação de EDR com behavioural detection. > **Nota:** Blue Mockingbird exemplifica monetização direta de acesso comprometido - modelo sustentável que motiva reinfecções contínuas. --- *Fonte: [MITRE ATT&CK - G0108](https://attack.mitre.org/groups/G0108)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.