Matryosh Botnet

Infosec-Forscher entdeckten ein neues Botnetz, das sich noch in der Anfangsphase befindet. Das Botnetz mit dem Namen Matryosh nutzt Android-Geräte aus, für die die Android Debug Bridge aktiviert und vom Anbieter für das Internet verfügbar gemacht wurde. Das Problem mit dieser Diagnose- und Debugging-Schnittstelle wurde in den letzten Jahren bereits von mehreren verschiedenen Malware-Stämmen als Kompromissvektor verwendet. Einige der Bedrohungen umfassen Trinity, ADB.Miner, Fbot, Ares und IPStorm. Es sollte auch beachtet werden, dass Matryosh Botnet mehrere bemerkenswerte Ähnlichkeiten mit zwei zuvor eingesetzten Botnetzen namens Moobot und LeetHozer aufweist, was die Forscher zu dem Schluss führt, dass dieselbe Angriffsgruppe für alle drei verantwortlich ist.

Was Matryosh Botnet auszeichnet, ist, dass sein Command-and-Control-Server (C2, C & C) im TOR-Netzwerk gehostet wird, was die Erkennung erheblich erschwert. Darüber hinaus erhält die Bedrohung die Adresse des Servers durch Ausführen eines komplexen mehrschichtigen Prozesses.

Bei der Bereitstellung kann Matryosh DDoS-Angriffe (Distributed Denial-of-Service) ausführen, die auch die Hauptfunktion der beiden vorherigen Botnets waren, die von der Hacker-Gruppe bereitgestellt wurden. Der Angriff kann über die Protokolle TCP, UDP und ICMP gestartet werden.