Matryosh Botnet

Infosec-forskere opdagede et nyt botnet, der stadig er i sin indledende fase med at blive etableret. Navngivet Matryosh udnytter botnet Android-enheder, der har Android Debug Bridge tilbage aktiveret og eksponeret for internettet af sælgeren. Problemet med denne diagnose- og fejlfindingsgrænseflade er allerede blevet brugt som en kompromisvektor af flere forskellige malware-stammer gennem de sidste par år. Nogle af truslerne inkluderer Trinity, ADB.Miner, Fbot, Ares og IPStorm. Det skal også bemærkes, at Matryosh Botnet deler flere slående ligheder med to tidligere implementerede botnet ved navn Moobot og LeetHozer, hvilket fører forskere til den konklusion, at den samme angrebsgruppe er ansvarlig for alle tre.

Hvad der adskiller Matryosh Botnet fra hinanden er, at dens Command-and-Control (C2, C&C) server er hostet på TOR-netværket, hvilket gør dem meget sværere at opdage. Desuden opnår truslen serverens adresse ved at udføre en kompleks proces i flere lag.

Når Matryosh er implementeret, vil det være i stand til at udføre DDoS-angreb (Distribueret Denial-of-Service), som også var den primære funktion af de to foregående botnet, der blev indsat af hackergruppen. Angrebet kan startes via TCP-, UDP- og ICMP-protokollerne.