Barracuda full logo

Come Barracuda Managed XDR sta proteggendo le organizzazioni in mezzo all'attività informatica legata al conflitto in Medio Oriente

Argomenti:
6 mar 2026
|
Merium Khalid

Monitoraggio attivo delle minacce in evoluzione, ricerca proattiva delle minacce negli ambienti dei clienti, IoC continuamente aggiornati e altro ancora

Conclusioni

  • Il SOC globale di Barracuda Managed XDR ha registrato un aumento di 10 volte nel traffico di rete dannoso dall'Iran agli Stati Uniti il 25 febbraio, poco prima dell'inizio del conflitto.
  • Il team SOC sta operando in uno stato di allerta elevato, proteggendo i clienti da rischi in rapida evoluzione.
  • Ai clienti viene anche consigliato di rafforzare le misure di sicurezza essenziali per gestire il rischio.

Poco prima dell'inizio del conflitto in Medio Oriente, Barracuda Managed XDR’s global Security Operations Center (SOC) ha osservato un notevole aumento dell'attività informatica, con un incremento di 10 volte del traffico dannoso dall'Iran verso gli Stati Uniti. Questo picco riflette l'intensa e ampiamente riportata attività informatica tra l'Iran, i suoi avversari, i loro alleati e altri paesi. Le minacce continuano a evolversi.

Per mantenere i clienti protetti, il team SOC sta attualmente operando in uno stato di elevata allerta e sta conducendo attivamente il monitoraggio delle minacce e la ricerca proattiva delle minacce negli ambienti dei clienti.

Monitoraggio e misure pratiche

Il SOC continua a monitorare il panorama delle minacce e a implementare ulteriori misure protettive man mano che la situazione evolve.

Il SOC sta integrando attivamente nella sua piattaforma di intelligence sulle minacce tutte le minacce dannose verificate che provengono da o sono collegate ad attori informatici iraniani — come domini, indirizzi IP e URL. La piattaforma di intelligence sulle minacce contiene già circa 14 miliardi di indicatori di compromissione, inclusi quelli relativi al conflitto attuale in Medio Oriente.

Gli ambienti dei clienti vengono analizzati nel momento in cui viene identificata una nuova minaccia.

Le regole di sicurezza e le rilevazioni per la soluzione Endpoint Detection and Response (EDR) di Barracuda Managed XDR, fornita tramite SentinelOne, sono continuamente aggiornate con le informazioni più recenti.

I clienti che utilizzano la funzione SentinelOne dovrebbero considerare di attivare le regole della libreria di rilevamento della piattaforma, se non l'hanno già fatto, per estendere ulteriormente la copertura.

Le seguenti regole EDR vengono mostrate per proteggere da operazioni informatiche iraniane attualmente conosciute:

 

Categoria di minaccia

Nome della regola

Descrizione

MuddyWater

Possibile drop di DLL MuddyWater coerente con il sideloading del driver audio

Rileva una libreria a collegamento dinamico (DLL) scritta in un modo utilizzato dal gruppo di cyber spionaggio MuddyWater

dumping delle credenziali

Creazione di attività sospette per il furto di credenziali

Rileva un evento di creazione attività che esegue strumenti utilizzati per il furto di credenziali

 

Strumento di sfruttamento della rete basato su Python

Rileva strumenti di hacking basati su Python utilizzati per il movimento laterale e attività post-sfruttamento

 

Strumenti potenziali di dumping LSASS

Rileva la presenza di strumenti comuni utilizzati per estrarre le credenziali nel servizio Local Security Authority Subsystem Service (LSASS)

 

Dumping delle credenziali tramite Shadow Copy

Rileva il dumping delle credenziali tramite copie shadow

 

Raccolta interattiva di NTDS tramite VSS

Rileva i tentativi avviati dall'utente di raccogliere NTDS.dit tramite il servizio di copia shadow del volume (VSS)

 

Dumping delle credenziali di dominio memorizzate nella cache

Rileva l'elenco delle credenziali memorizzate nella cache utilizzando cmdkey.exe

Tunneling e accesso remoto

Dominio Ngrok Contattato

Rileva DNS verso domini ngrok

 

Rilevato stabilimento del tunnel persistente Cloudflare

Rileva l'istituzione del tunnel persistente di Cloudflare

 

Traffico del tunnel Cloudflare di avvio del processo anomalo

Rileva processi insoliti che stabiliscono un tunnel Cloudflare

Raccolta & esfiltrazione

Script di keylogging tramite PowerShell

Rileva PowerShell utilizzando funzioni che potrebbero essere utilizzate per la registrazione dei tasti

 

Info Stealer del Browser Chromium tramite Debugging Remoto

Rileva il debug remoto sui browser Chromium utilizzati per il furto di credenziali

 

Tentativo di accesso ai dati delle credenziali e dei cookie del browser

Rileva i tentativi di accesso a credenziali e cookie

Abuso di PowerShell/script

Esecuzione di script PowerShell tramite IPv4 intero basato sul tempo

Rileva l'esecuzione di PowerShell che esegue script remoti utilizzando IPv4 intero basato su tempo.

 

Utilizzo sospetto di .NET Reflection tramite PowerShell

Rileva il reflection .NET dagli script PowerShell

 

Comando di download della riga di comando di PowerShell codificato

Rileva comandi PowerShell codificati che avviano un download

Elusione della difesa, impatto, scoperta

Potenziale DLL Sideloading nella directory PerfLogs

Rileva il sideloading DLL nella directory PerfLogs

 

Tentativo di cancellazione dati su disco tramite l'utilità Dd

Rileva l'uso dell'utilità di definizione del dataset (dd) per cancellare un disco

 

Manomissione della configurazione di avvio tramite BCDEdit

Rileva la modifica dei dati di configurazione di avvio (BCD) per massimizzare la disfunzione tramite BCDEdit

 

Creazione del file di ricognizione di Active Directory di BloodHound

Rileva l'esecuzione di BloodHound e strumenti alternativi

Misure di sicurezza consigliate per tutte le aziende

Accanto alla profonda protezione cibernetica resiliente 24 ore su 24, 7 giorni su 7 fornita da una soluzione di sicurezza come Barracuda Managed XDR, ci sono passi pratici che le organizzazioni possono intraprendere per aumentare la loro resilienza cibernetica durante i periodi di rischio elevato. Questi includono:

Sicurezza della rete

  • Implementa il blocco a livello di paese nel firewall per le regioni in cui la tua organizzazione non svolge attività commerciali.
  • Disabilitare le implementazioni accessibili al pubblico del Remote Desktop Protocol (RDP), applicare l'autenticazione multifattore per tutti gli accessi remoti e monitorare i log per i tentativi di accesso falliti e insoliti. Bloccare gli utenti dopo tre-cinque tentativi falliti e considerare di sostituire RDP con l'infrastruttura desktop virtuale (VDI) invece di RDP diretto.
  • Verificare se ci sono porte di accesso remoto inutilizzate e disabilitarle se non sono in uso.
  • Implementare la segmentazione della rete per limitare il movimento laterale
  • Utilizzare workstation con accesso privilegiato (PAW) per attività amministrative

Impostazioni del firewall

  • Rivedi tutte le regole del firewall in entrata e in uscita
  • Rimuovi tutte le regole impostate su "consenti qualsiasi"
  • Documentare e giustificare tutte le regole di accesso esterno
  • Presta particolare attenzione alle regole che consentono l'accesso da intervalli di IP esteri

Politiche delle password

  • Imporre password lunghe (14 caratteri)
  • Richiedi complessità: lettere maiuscole, lettere minuscole, numeri e caratteri speciali
  • Impedisci il riutilizzo delle password e prendi in considerazione l'applicazione degli aggiornamenti delle password ogni 60-90 giorni

Altre misure essenziali

  • Dare priorità agli aggiornamenti software
  • Controlla le applicazioni installate su tutti i dispositivi aziendali e rimuovi le applicazioni non autorizzate o non necessarie
  • Prestate particolare attenzione agli strumenti di accesso remoto, come TeamViewer e AnyDesk.
  • Cerca strumenti legittimi che potrebbero essere abusati, inclusi PSExec e PowerShell ISE
  • Assicurati che i tuoi sistemi di backup siano isolati e testati, e mantieni backup offline dei dati critici.
  • Rivedi e aggiorna il tuo piano di incident response

Per ulteriore assistenza, contattare il team Barracuda Managed XDR per vedere come possono aiutare.

Blocca le minacce con la sicurezza informatica gestita 24 ore su 24, 7 giorni su 7.
Merium Khalid

Merium Khalid è Direttrice della Sicurezza Offensiva SOC, Ufficio del CTO presso Barracuda. Merium ha una vasta esperienza nell'analisi dei dati, nell'identificazione delle minacce, nella risposta agli incidenti, nella ricerca e nello sviluppo, e molto altro. Il suo team è responsabile della gestione delle chiamate di triage per la risposta agli incidenti, della creazione di rilevamenti di casi d'uso all'avanguardia tramite apprendimento automatico, query statiche, ricerca e implementazione di nuove piattaforme, e dell'automazione dei flussi di lavoro per proteggere i loro clienti, fornendo un'esperienza di alta qualità insieme a garantire che l'esperienza degli analisti SOC sia eccellente. Merium ha conseguito la laurea in informatica presso SUNY Old Westbury e ha molti anni di esperienza nella guida e gestione delle operazioni di sicurezza.

Post correlati:
SOC Threat Radar — April 2026
SOC Threat Radar — April 2026
 Dimostrare il valore di Managed XDR con un clic
Dimostrare il valore di Managed XDR con un clic
 Celebrazione di vittorie consecutive di premi per la sicurezza delle email e XDR
Celebrazione di vittorie consecutive di premi per la sicurezza delle email e XDR
 Operazionalizzazione dei dati grezzi sulle minacce
Operazionalizzazione dei dati grezzi sulle minacce
Cerca nel blog

Rapporto sulle violazioni della sicurezza e-mail 2025

Risultati chiave sull'esperienza e l'impatto delle violazioni della sicurezza e-mail sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

The MSP Customer Insight Report 2025

Uno sguardo globale su ciò di cui le organizzazioni hanno bisogno e vogliono dai loro provider di servizi gestiti per la sicurezza informatica

Scarica il report

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.