{
	"id": "771e6041-7d36-43a0-8eae-fcbd5d00c5fb",
	"created_at": "2026-04-06T00:10:22.08164Z",
	"updated_at": "2026-04-10T03:20:56.345338Z",
	"deleted_at": null,
	"sha1_hash": "25540a096fb14c3e07652abfa4a277b07836afb7",
	"title": "今さら聞けない！情報窃取型マルウェアの内部動作とJSOCの検知傾向 | LAC WATCH",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1239965,
	"plain_text": "今さら聞けない！情報窃取型マルウェアの内部動作とJSOCの検\r\n知傾向 | LAC WATCH\r\nBy サイバー救急センター\r\nPublished: 2022-03-07 · Archived: 2026-04-05 18:35:35 UTC\r\nサイバー救急センターの脅威分析チームです。\r\n根強い脅威である情報窃取型マルウェア（InfoStealer）に関して、JSOCにおける検知傾向とマルウェア\r\n動作を調査しました。\r\n情報窃取型マルウェアとは、Webブラウザなどのソフトウェアに保存された認証情報やキーストローク\r\n情報の窃取を主目的としたマルウェアのことです。もし感染すると、窃取されたユーザの認証情報が\r\n悪用されて被害に遭ってしまう恐れがあります。\r\nなお、広義にはバンキングマルウェアやEmotetについても情報窃取型マルウェアとして分類されます\r\nが、本稿ではこれらを除いた、システムに設定済みの情報の窃取を目的とするマルウェア（AgentTesla\r\nやFormBookなど）を取り上げます。以降では、このようなマルウェアを総称して「情報窃取型マルウ\r\nェア」と呼びます。\r\n情報窃取型マルウェアは継続的に日本国内に届いている一方で、既存の製品によって検知されること\r\nが多く、その背景やマルウェアの動作などを詳細に知る機会がないまま対応している方も多いのでは\r\nないでしょうか。そこで、具体的に情報窃取型マルウェアの種類や動作を解説し、対策についてもお\r\n伝えします。\r\n目次\r\n1. 情報窃取型マルウェアの検知傾向\r\n2. 感染までの流れ\r\n3. 情報窃取型マルウェアの種類\r\n4. 被害に遭わないための対策\r\n5. ラックが提供するサービス\r\n6. まとめ\r\n7. IOC（Indicator Of Compromised）\r\n情報窃取型マルウェアの検知傾向\r\nまずは、JSOCにおける情報窃取型マルウェアの検知傾向についてです。2021年においてJSOCで検知し\r\nたマルウェア感染を目的とした攻撃メール（以下、攻撃メール）の割合を集計※1すると、図1の通りと\r\nなりました。\r\n※1 検知ルールから判断できなかったマルウェアは集計の対象外としています。\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 1 of 14\n\n図1 2021年にJSOCで検知した攻撃メールの割合\r\n（左：すべての攻撃メール、右：日本語の件名のみ）\r\n図1の左のグラフは、2021年にJSOCで検知した攻撃メールの割合で、グラフの太字のマルウェアが情報\r\n窃取型マルウェアであることを表しています。このグラフでは、AgentTesla、FormBook、XLoaderの順\r\nで検知割合が多いことがわかります。LokiBotやSnake Keyloggerなどを含めると、情報窃取型マルウェ\r\nアは全体で約66%となり、検知の半数以上を占めているといえます。また、2020年後半に新たに報告さ\r\nれた情報窃取型マルウェアであるSnake Keyloggerも検知率が3%に上っており、今後も攻撃に使用され\r\nることが予想されます。\r\n一方、図1の右のグラフは2021年にJSOCで検知した日本語の件名における攻撃メールの割合です。\r\nEmotetが最も多く、続いてQakbot、情報窃取型マルウェアの順で検知していました。\r\n最多のEmotetは、感染したPCから窃取したメールを攻撃で使用することで次々と感染が拡大し、その\r\n結果攻撃メールの検知数が急増するという性質があります。一度テイクダウンされたEmotetですが、\r\n2021年11月から活動を再開しており、その攻撃手口からみても今後も日本語のメールでの検知数は多\r\nい状況が続くとみられます。Emotetに関してはラックでも注意喚起を行いました。\r\n二番目に多いQakbotは、Emotetと同様の手法を用いて取引先や同僚を装ったメールを送りつけることで\r\n感染拡大を図るマルウェアです。QakbotにPCが感染した場合、インターネットバンキングの認証情報\r\nが窃取されたり、メールが窃取されて攻撃に悪用されたりします。Qakbotの攻撃メールの特徴として\r\nは、件名が日本語であるものの、本文で英語が使用されていることが多く、Emotetと比べると誤って開\r\n封してしまう可能性は低いと推測されます。しかしながら、年間を通して攻撃メールが観測されてい\r\nる点に注意が必要です。\r\n三番目に多くの割合を占めるのは、情報窃取型マルウェアです。検知割合でみれば約21%を占めてお\r\nり、日本語メールにおいても無視できない存在であることがわかります。攻撃メールは、請求書や見\r\n積もり依頼などを騙ったものが多く、稚拙な文を使用することもあれば、攻撃メールとしての体をな\r\nしたものもあり、内容によっては受信者が開いてしまう可能性も十分考えられます。\r\n以上のように、情報窃取型マルウェアは軽視できない割合で検知しており、根強い存在であることが\r\nわかります。また、感染までの流れが複雑であるため、対策を講じる上で一度全体像を理解しておく\r\nことが望ましいです。\r\n感染までの流れ\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 2 of 14\n\n情報窃取型マルウェアに感染する経路のひとつとしてメールがあります。図2に実際に攻撃に使用され\r\nたメールの例を示します。メールの文面は英語であることが多いものの、図2のように日本語が使われ\r\nることもあります。いずれの言語の場合でもメールの文面は請求書や支払いの確認、見積もりの依頼\r\nなどの内容を装っており、受信者に添付ファイルや本文に記載のURLリンクを開かせようと誘導しま\r\nす。\r\n図2 攻撃に使用されたメールの例\r\n添付ファイルの場合は不正なファイルが展開・実行すると感染を引き起こします。また、URLリンク\r\nを開いた場合は添付ファイルの場合と同様の不正なファイルがダウンロードされます。不正なファイ\r\nルの形式としては、実行ファイル（exe）、ドキュメント（docx、xlsxなど）、その他のファイル（js、\r\nlnkなど）と、これらのファイルを内包した圧縮ファイル（zip、7-zip、rarなど）やISOイメージなど、\r\n様々な種類の形式を確認しています。\r\n現在までに多く観測している感染までの流れを整理したものが次の図3です。やや複雑ですが、URLリ\r\nンクや圧縮ファイル等の場合でも、最終的に実行ファイルもしくはドキュメントを起点として情報窃\r\n取型マルウェアに感染することがわかります。\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 3 of 14\n\n図3 情報窃取型マルウェアに感染するまでの流れ\r\n実行ファイルが使用されるケースでは、実行ファイル自体が情報窃取型マルウェア本体である場合\r\nと、実行ファイルがGuLoader（別名：CloudEyE）と呼ばれるダウンローダである場合があります。前\r\n者は実行すると直接感染を引き起こす一方で、後者はGuLoaderが情報窃取型マルウェアをダウンロー\r\nドして感染を引き起こします。\r\n他方、ドキュメントが使用されるケースでは、マクロ付きのドキュメントとOffice製品の脆弱性（CVE-2017-11822やCVE-2017-0199など）を悪用したドキュメントの2種類が存在します。これらのドキュメ\r\nントの不正なコードが動作すると、情報窃取型マルウェアがダウンロードされて感染する、または、\r\nGuLoaderを経由して多段階で情報窃取型マルウェアがダウンロードされて感染します。\r\n情報窃取型マルウェアをダウンロードする通信先は、GoogleドライブやOneDrive、Discordが使われる\r\nケースを確認しています。このように正規サービスを悪用することは、検知や遮断を回避する狙いが\r\nあるものとみられ、攻撃者たちの手口は巧妙化していることが窺えます。\r\nなお、JSOCによる検知としては明確に確認できなかったものの、海外のサンドボックスサービスにお\r\nいてGuLoaderの代わりにModiLoaderと呼ばれるダウンローダが使用されるケースがあることを確認し\r\nています。脅威分析チームの調査では、ModiLoaderの観測数はGuLoaderと比べると少なく、現在は\r\nGuLoaderが主流であるものと考えられます。\r\n情報窃取型マルウェアの種類\r\n情報窃取型マルウェアにはさまざまな種類があります。ここではJSOCの検知において多く確認してい\r\nる情報窃取型マルウェアである、AgentTesla、FormBook/XLoader、LokiBotの特徴について解説しま\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 4 of 14\n\nす。これらのマルウェアは、ハッキングフォーラムなどで安価で販売、または、無料でビルダー等を\r\nダウンロードできるため攻撃に使用されやすい傾向があります。\r\nAgentTesla\r\nAgentTeslaは、2014年に発見された情報窃取を主目的とするマルウェアです。このマルウェアに感染す\r\nると、Webブラウザやメールクライアント、FTPクライアントなどの認証情報、クリップボードやスク\r\nリーンショット、キーストロークなどの情報が攻撃者に窃取される可能性があります。ただし、\r\nAgentTeslaは、一般的なRATにあるような高度なコマンド＆コントロール機能を有していないため、通\r\n常は感染PCからサーバへの窃取情報の送信のみを行います。\r\nAgentTeslaの特徴として、通信方式の多様性が挙げられます。AgentTeslaは、HTTPを使用する方法のほ\r\nかに、SMTPやFTP、Telegramチャット、Torプロキシを使用して感染PC内の情報を攻撃者のもとへ送る\r\nことができます。例えば、FTPを使用してファイルをFTPサーバにアップロードしたり、Telegramボッ\r\nトAPIを使用してチャットにデータを送信したりすることが可能です。なお、AgentTeslaがどの通信方\r\n式を用いるかはAgentTeslaの設定値によって変わり、一度に複数の通信方式を使用することはありませ\r\nん。このため、通信方式は検体ごとに確認する必要があります。なお、AgentTeslaの設定値は、HTTP\r\nの場合は\"0\"、SMTPの場合は\"1\"、FTPの場合は\"2\"、Telegramの場合は\"3\"です。\r\n図4 AgentTeslaの全体像\r\nまた、特筆すべき点として、AgentTeslaがv2とv3の2種類に大別できるという点が挙げられます※2。\r\nAgentTeslaはバージョンによって内部データの保持方法や有する機能が異なります。例えば、v2が通信\r\n先情報やデータ送信時に使用する文字列をAESで暗号化した状態で保持しているのに対し、v3では\r\nXORで文字列を暗号化した状態で保持しています（図5）。また、上述したTelegramやTorプロキシを使\r\n用した通信方式はv3でのみ実装されている機能です。\r\n※2 Agent Tesla amps up information stealing attacks\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 5 of 14\n\n図5 AgentTeslaのv2とv3の暗号化処理の違い\r\n（上：AgentTesla v2、下：AgentTesla v3）\r\n以上の観点から、JSOCにおいて検知したAgentTeslaに関して分析すると、v3の使用が多くみられ、通信\r\n方式としてはSMTPが多い傾向にあるということがわかりました。その一方で、Telegramなどの他の通\r\n信方式が設定されているケースも少なからず存在しており、実際の攻撃においても通信に多様性があ\r\nるといえます。また、AgentTeslaに関する攻撃メールの検知数は、2021年6月から増加傾向にあり、\r\n2022年においても根強く検知している状況です。\r\n最後に、最も使用頻度の多い通信方式であるSMTPについて解説します。通信方式がSMTPの場合は、\r\nAgentTesla内の暗号化データに含まれるメールアカウント情報（メールアドレス、パスワード、SMTP\r\nサーバのドメイン名）を用いて、図6のコードで窃取した情報をメールで送信します。\r\n図6 窃取データを送信するコード（AgentTesla v3）\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 6 of 14\n\nまた、メール送信時の通信例は図7の通りです。このように送信時の通信では587番ポートを介して\r\nSMTP認証を行い、窃取情報をHTML形式のメールで送信します。なお、メールの宛先は、認証したメ\r\nールアカウントのメールアドレスがそのまま使用されるケースや、認証したメールアカウントとは別\r\nに設定された宛先用のメールアドレスが使用されるケースがあることを確認しています。このように\r\nして窃取されたデータが一方向にメールで送信されます。\r\n図7 窃取データを送信する通信例（AgentTesla v3）\r\nFormBook/XLoader\r\nFormBookは、2016年に発見された情報窃取を主目的とするマルウェアです。このマルウェアは、Web\r\nブラウザやメールクライアント、FTPクライアントの認証情報をはじめ、クリップボード情報やキース\r\nトロークの窃取、画面キャプチャ、コマンド＆コントロールの機能を備えています。そのため、感染\r\nすると機微な情報が窃取されたり、攻撃者によってPCをリモートコントロールされたりします。\r\n図8 FormBook/XLoaderの全体像\r\n2016年から蔓延するFormBookですが、2020年になって後継のマルウェアと考えられる「XLoader」が登\r\n場しました※3。XLoaderは、フォーラム上で販売の宣伝が行われ、既に日本組織への攻撃に使用されて\r\nいます。機能面でみれば、コードはFormBookと類似しており、大きな相違はみられません。その一方\r\nで、C2通信時に使用する特徴的な文字列やバージョン体系などが異なるという特徴があります（図\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 7 of 14\n\n9）。また、XLoaderはクロスプラットフォームへのサポートを謳っており、macOSでの動作を可能と\r\nする種別が存在します。\r\n※3 Top prevalent malware with a thousand campaigns migrates to macOS\r\n図9 FormBookとXLoaderの識別箇所\r\n（左：FormBook 4.1、右：XLoader 2.3）\r\nFormBookとXLoaderは、いずれも通信をHTTPで行い、GETメソッドとPOSTメソッドを使用します。通\r\n常は、最初の通信にGETメソッド、窃取データの送信にPOSTメソッド（図10）を用います。送信され\r\nるデータはBase64エンコードとRC4によって暗号化されており、鍵の一部がマルウェア内に保持されて\r\nいます。なお、通信時は、どちらのマルウェアも偽の通信先を複数ハードコードしているため、C2サ\r\nーバではない通信先への通信が発生します。このためC2通信先が一見分かりづらく、通信先の遮断に\r\nは注意が必要です。\r\n図10 C2通信の例\r\n（左：FormBook、右：XLoader）\r\n上述の通り、FormBookもXLoaderもコマンド＆コントロールの機能を有しています。これにより、通信\r\nを行うことでC2サーバからコマンドを受け取るという動作が可能です。マルウェアがサーバから受け\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 8 of 14\n\n取るコマンドを表1に示します。これらのコマンドは、サーバからの「200 OK」のレスポンスにおいて\r\nボディに記載されて受け渡されます。C2コマンドの機能として、コマンド実行やダウンロード＆実行\r\nの動作が可能なことから、情報窃取以外の目的で使われる可能性も考えられます。\r\n表1 C2コマンド一覧\r\nJSOCにおける最近の検知傾向としては、FormBookとXLoader共に日本国内の組織にも届いている状況\r\nでFormBookの勢いも未だに落ちていません。国内の攻撃で用いられた検体は、FormBookに関してはバ\r\nージョン4.1、XLoaderに関しては2021年9月中旬まで2.3が利用され、それ以降は2.5系が利用されている\r\n傾向にあります。なお、macOS版のXLoaderは、JSOCでの検知はありませんでした。\r\nLokiBot\r\nLokiBotは、2015年に発見された情報窃取を主目的とするマルウェアです。他の情報窃取型マルウェア\r\nと同様に、各種アプリケーションの認証情報の窃取機能や画面キャプチャ機能、キーロガー機能、コ\r\nマンド\u0026コントロール機能を有すとされており、感染した場合は機微な情報の窃取や感染PCが攻撃者\r\nにリモートコントロールされる可能性があります。また、他の情報窃取型マルウェアと比べると窃取\r\n対象とするアプリケーションが多いという特徴もあります。\r\n図11 LokiBotの全体像\r\nLokiBotのC2通信は、図12の通りHTTPを使用します。通信の特徴として、パスに「fre.php」を使用する\r\nことや、User-Agentに「Mozilla/4.08 (Charon; Inferno)」を使用することなどが挙げられ、比較的識別し\r\nやすいマルウェアといえます。また、詳細は後述しますが、多くの場合はHTTPボディのデータに\r\n「ckav[.]ru」が含まれていることも特徴のひとつです。\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 9 of 14\n\n図12 通信例\r\nLokiBotが発生させるリクエストには、窃取データの送信とC2コマンド要求の2種類があります。後者\r\nのC2コマンド要求の通信はデフォルト設定では10分ごとに発生します。このときC2サーバからの受け\r\n取る命令は、表2に示すものがあります。\r\n表2 C2コマンド一覧\r\n興味深いことに、世界的に流通するLokiBotの多くはクラック版※4であり、日本においてもこの傾向は\r\n変わりません。JSOCで検知した日本組織に届いたLokiBotも多くがクラック版でした。クラック版と\r\nは、開発者らが販売する元のLokiBotを改変したバイナリのことです。クラック版を用いることで、\r\nLokiBotの販売者らに支払う利用料金を支払わずに済むことから攻撃者によって多用されているものと\r\n考えられます。\r\n※4 CVE-2017-11882 Exploited to Deliver a Loki Infostealer\r\nクラック版LokiBotは、フォーラムで出回っている図13のビルダーを用いると任意のC2通信先を指定し\r\nたものが簡単に生成できます。さらに、C2パネルのソースコードも流出しているため、クラック版で\r\nも攻撃を容易に行うことができてしまうのが実情です。\r\n図13 クラック版LokiBotのビルダー\r\n（v1.6のビルダーと表示されるが、実際は1.8のビルダーとみられる）\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 10 of 14\n\nクラック版のLokiBotはバージョン1.8（0x12）をベースとして生成されているとみられ、オリジナルバ\r\nージョンには存在しない「.x」セクションが含まれています。「.x」セクションには、C2通信先を上書\r\nきするコードが含まれており、このセクションの有無を確認することでクラック版であるか否かの判\r\n別が可能です。その他にも開発者が配布する元のLokiBotと相違点があります。例えば、キーロガーに\r\n関するC2コマンド（表2の0x09）が実装されておらず、キーロガーの機能を有していないという点や、\r\n通信時にバイナリIDとして「ckav[.]ru」が含まれる点が挙げられます。\r\n被害に遭わないための対策\r\n攻撃の被害に遭うことがないよう、以下のようなセキュリティ対策が実施できているか今一度ご確認\r\nいただくことを推奨します。\r\nWindows OSやOffice製品、Webブラウザなどの各ソフトウェアを常に最新の状態にする\r\nウイルス対策ソフトを導入し、パターンファイルを常に最新の状態に更新する\r\nEDR製品を導入し、感染の検知・防御だけでなく、万が一の際の迅速な対応を可能にする\r\n身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリックしない\r\nマクロやセキュリティに関する警告が表示された場合、安易に「マクロを有効にする」「コンテ\r\nンツの有効化」というボタンはクリックしない\r\nラックが提供するサービス\r\n情報窃取型マルウェアに対する有効なサービスと、調査時に役立つツールの一部をご紹介します。\r\nマネージドEDRサービス\r\n引き続き、新型コロナウイルスの影響で、テレワークが拡大している背景からも、PCのセキュリティ\r\n対策の重要性が増しています。\r\nマネージドサービスを提供しているEDR製品（CrowdStrike Falcon／Microsoft Defender ATP）は、PC内\r\nの様々な動作痕跡を元に、未知の脅威を「検知」「初期対応」「調査」「復旧」することを可能にす\r\nる新しいセキュリティソリューションです。\r\nAgentTeslaなどの情報窃取型マルウェアにおいても検知、防御が可能であることを確認しており、EDR\r\nの導入は有効な対策のひとつとなります。さらにEDRは、感染の検知・防御だけでなく、万が一の際\r\nの迅速な一次対処や原因調査を可能にするため、今回紹介した一般的なマルウェアへの対策だけでは\r\nなく、高度な標的型攻撃への対策としても有効です。\r\n情報漏えいチェックサービス\r\n今回紹介した情報窃取型マルウェアなどが、自組織のネットワーク内のPCに感染していないかを調査\r\nできるのが情報漏えいチェックサービスです。\r\nこのサービスでは、お客様のネットワーク環境におけるインターネットの出口にトラフィック収集機\r\n器を設置して収集したデータや、プロキシサーバのログを、専任のアナリストが情報漏えいの観点で\r\n解析します。\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 11 of 14\n\nラックの独自の知見をもとに調査を行うため、情報窃取型マルウェアやバンキングマルウェアだけで\r\nなく、標的型攻撃による不審な通信についても発見・報告した実績がこれまでに多数あります。自組\r\n織内のPCにマルウェアの感染がないかを第三者の視点から定期的にチェックするといった「健康診\r\n断」としてのご活用をぜひご検討ください。\r\n無料調査ツール「FalconNest」\r\nラックが無料で提供しているツール「FalconNest」は、不審なファイルを調査する際に役立ちます。\r\nメールに添付されているファイルがマルウェアか否かを確認したい場合、「マルウェア自動分析機能\r\n（Malware Analyzer）」にて調査することができます。\r\n図14 FalconNest（Malware Analyzerの検出例）\r\nまた、解析したいファイルをアップロードする際に、「コードインテリジェンス分析を使用する」に\r\nチェックを入れることにより、Intezer Analyze※5の機能によって、どのマルウェアファミリーに属して\r\nいるのか分析できます。以下の図15は、解析結果のJSONファイルです。「family」の項目を見ると、\r\nAgentTeslaに分類されていることが分かります。\r\n※5 Intezer - Autonomous Security Operations\r\n図15 コードインテリジェンス分析の解析結果\r\nまとめ\r\n今回はJSOCの検知傾向に基づいて数種類の情報窃取型マルウェアを解説しましたが、紹介したもの以\r\n外にもたくさんの種類があります。XLoaderやSnake Keyloggerなど、比較的新たな情報窃取型マルウェ\r\nアも登場しており、情報窃取型マルウェアの情勢も変化しつつあります。そのため、これらのマルウ\r\nェアが既存の製品によって簡単に検知すると油断せず、多層的に対策を行うことが重要です。\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 12 of 14\n\n脅威分析チームは、今後もマルウェアや攻撃キャンペーンについて継続的に調査し、広く情報を提供\r\nしていきたいと考えていますので、その情報をご活用いただければ幸いです。\r\nサイバー救急センター　脅威分析チーム\r\n（武田 貴寛、松本 拓馬、髙源 武彦）\r\nIOC（Indicator Of Compromised）\r\nAgentTesla（MD5）\r\nd4a2487d6ebebfbfdb0768c990963f3f\r\nd1b9a474883c8b76248b2a902b0fff3a\r\n480d2cd631b442fcd0ec4dc77076b9b9\r\nb4eab6adcac586a4f8c457f121b6e06e\r\nbf51a1e00b087a25ec19d22a7ec1a307\r\n5d9692630fe462721d302a2f2645aa14\r\na8eff47f0222d50d6c37d6a18ccff543\r\n0a3a1385c70ecec991de3baf9ea504e8\r\nFormBook（MD5）\r\nc8d7f9160e60b1db486561b007ab7621\r\n14ec4cfb2a55bbd695844c38aec0aabc\r\n419b440432ac6a3b9acb14c94c8e63ba\r\n57bd2d2933d5c64bca855b90f21887a4\r\n9ebbda76067bcea4343c56f37fc8bfc6\r\nXLoader（MD5）\r\nc4832ce0018f0455b27f1b92d1cb3152\r\n2281240c80b4635c3e0d17a44142b14a\r\n29a2ea2de2e06ff44e764795c83fbba7\r\na0ce2cc7efe495427eb62c4c4ab2d3d2\r\nbcde42776b0996bd7ec03be666fbd8c3\r\nc9a3d8f7a9dd8083b71ce917f47b3585\r\nLokiBot（MD5）\r\ne6e8630a4ebb748fbff69def4af87869\r\n24dd4963d365c33435f58adaebb1ef26\r\nce9243796ed9bb455d7bc29aee7566e9\r\nd983e2e5b77b10131ec146dc026f3986\r\n573ac4bba0681562c1ed9a00d4aee41e\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 13 of 14\n\nSource: https://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nhttps://www.lac.co.jp/lacwatch/report/20220307_002893.html\r\nPage 14 of 14",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.lac.co.jp/lacwatch/report/20220307_002893.html"
	],
	"report_names": [
		"20220307_002893.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434222,
	"ts_updated_at": 1775791256,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/25540a096fb14c3e07652abfa4a277b07836afb7.pdf",
		"text": "https://archive.orkl.eu/25540a096fb14c3e07652abfa4a277b07836afb7.txt",
		"img": "https://archive.orkl.eu/25540a096fb14c3e07652abfa4a277b07836afb7.jpg"
	}
}