<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);" class="elementToProof">

Hello,

<div><br>

</div>

<div>I hope everyone is doing well!</div>

<div><br>

</div>

<div>Below is the entry for today.</div>

<div><br>

</div>

<div>05/04/2022 - Diary entry #503:</div>

<div><br>

</div>

<blockquote style="margin-top:0;margin-bottom:0">

<div>A new threat actor group with espionage purposes was recently discovered. Active since late 2019, UNC3524 has been targeting the mailboxes of individuals belonging to organizations by using tools to facilitate bulk email collection. UNC3524's focus is

 to infect environments that don't support security tools like anti-virus or endpoint protection, remaining undetected for at least 18 months.

<div><br>

</div>

<div>After infecting an environment (SAN arrays, load balancers, and wireless access point controllers), UNC3524 deploys a backdoor tracked as QUIETEXIT, based on the open-source Dropbear SSH client-server software. Once executed, QUIETEXIT establishes a tunneled

 connection with the threat actors as if the traditional client-server roles in an SSH connection were reversed, with QUIETEXIT being the server.</div>

<div><br>

</div>

<div>QUIETEXIT supports command-line arguments to connect to a different C2 address and port other than the hardcoded address in the binary. UNC3524 can also deploy a secondary backdoor as a backup, if QUIETEXIT fails, by using a web shell known as REGEORG.

 Both threats have their file names blended to the applications' names running on the compromised target and have their timestamps modified to match the other files in the same directory.</div>

<div><br>

</div>

UNC3524 reveals as a very advanced and persistent threat, targeting devices with no support to security solutions and with different operational systems. This can be very difficult since it requires crafting tools for running on those devices but certainly

 helps the threat actors to remain stealthy during their operations.<br>

</div>

</blockquote>

<div><br>

</div>

Kind Regards,<br>

</div>

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div id="Signature">

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

</div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif; font-size:12pt; color:rgb(0,0,0)">

<table style="font-size:medium; font-family:"Times New Roman"">

<tbody>

<tr>

<td style="width:180px" align="left">

<table width="120" align="left">

<tbody>

<tr>

<td colspan="3" align="center"><a href="https://www.appgate.com/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="120" height="30" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/logo@2x.png"></a></td>

</tr>

<tr>

<td colspan="3" align="center"> </td>

</tr>

<tr>

<td width="37%" align="center"><a href="https://www.linkedin.com/company/appgate-security/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="18" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/likedin@2x.png"></a></td>

<td width="28%"><a href="https://twitter.com/AppgateSecurity" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="20" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/twitter@2x.png"></a></td>

<td width="35%"><a href="https://www.youtube.com/channel/UC-8GvxcZbm-R3EJNl8jYjiQ" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="width: 26px; height: 18px; max-width: initial;" width="26" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/youtube@2x.png"></a></td>

</tr>

</tbody>

</table>

<p style="margin-top:0px; margin-bottom:0px"> </p>

</td>

<td colspan="2" rowspan="2" style="width:350px">

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

<strong>Felipe Tarijon de Almeida</strong><br>

Malware Analyst<br>

<strong>Appgate</strong></p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px" class="elementToProof">

E:<span style="margin:0px"> <a href="mailto:felipe.tarijon@appgate.com" title="mailto:felipe.tarijon@appgate.com">

felipe.tarijon@appgate.com</a></span><br>

<br>

<span style="margin:0px; background-color:white"></span></p>

</td>

</tr>

</tbody>

</table>

<br>

</div>

</div>

</div>

</div>

</body>

</html>