# Leviathan Australian Intrusions ## Descrição As Leviathan Australian Intrusions consistiram em pelo menos duas intrusões de longo prazo contra vítimas na Austrália conduzidas pelo [[g0065-leviathan|Leviathan]] (também rastreado como APT40, TEMP.Periscope e Bronze Mohawk), um grupo de espionagem cibernética atribuído ao Ministério de Segurança do Estado (MSS) da China. As operações, ocorridas entre abril e setembro de 2022, exploraram vulnerabilidades em aplicações públicas ([[t1190-exploit-public-facing-application|T1190]]) como vetor inicial, seguidas de extensa coleta de credenciais via Kerberoasting e abuso de contas de domínio para escalada de privilégios e movimento lateral em redes corporativas australianas. O foco operacional centrou-se em organizações governamentais, de defesa e tecnologia australianas - alvos de alto valor estratégico para a coleta de inteligência da China sobre políticas e capacidades de parceiros da aliança Five Eyes. As técnicas de staging de dados ([[t1074-001-local-data-staging|T1074.001]]) e exfiltração via canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]) indicam operação planejada com coleta sistemática de informações, não oportunista. A campanha é notável pela utilização de credenciais legítimas como vetor principal de movimento lateral - abusando de contas de domínio existentes ao invés de implantar malware customizado - , o que torna a detecção via ferramentas tradicionais de AV/EDR significativamente mais difícil e demanda capacidades avançadas de análise comportamental. ## Atores Envolvidos - [[g0065-leviathan|Leviathan]] ## Técnicas Utilizadas - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1615-group-policy-discovery|T1615 - Group Policy Discovery]] - [[t1213-006-databases|T1213.006 - Databases]] - [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] - [[t1078-002-domain-accounts|T1078.002 - Domain Accounts]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1558-003-kerberoasting|T1558.003 - Kerberoasting]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1482-domain-trust-discovery|T1482 - Domain Trust Discovery]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1594-search-victim-owned-websites|T1594 - Search Victim-Owned Websites]] ## Impacto As intrusões resultaram em exfiltração de dados sensíveis de organizações governamentais e corporativas australianas, incluindo credenciais válidas que poderiam ser utilizadas em ataques subsequentes. O comprometimento de bases de dados ([[t1213-006-databases|T1213.006]]) indica coleta estratégica de informações - inteligência operacional e políticas governamentais - alinhada à missão de espionagem do MSS chinês. O governo australiano (ASD/ACSC) emitiu alertas públicos sobre atividades do Leviathan contra setores críticos nacionais ao longo de 2022 e 2023. ## Relevância LATAM/Brasil Embora os alvos confirmados sejam australianos, o [[g0065-leviathan|Leviathan]] tem histórico documentado de alvos em múltiplos continentes, com foco especial em países com proximidade estratégica aos EUA e parceiros Five Eyes. Organizações brasileiras dos setores de defesa, governo e tecnologia que mantêm parcerias internacionais ou contratos com entidades australianas, americanas ou europeias representam vetores potenciais de pivô. As técnicas de exploração de aplicações públicas e abuso de credenciais de domínio são amplamente aplicáveis a qualquer ambiente corporativo, reforçando a necessidade de hardening de Kerberos e monitoramento de autenticação em redes brasileiras. --- *Fonte: [MITRE ATT&CK - C0049](https://attack.mitre.org/campaigns/C0049)*