{ "id": "adac6e44-46c2-4d03-9b70-512a5d97ada4", "created_at": "2026-04-06T00:08:03.055713Z", "updated_at": "2026-04-10T13:11:49.538463Z", "deleted_at": null, "sha1_hash": "3f7e98951881aa74695875c37815b4e77292c717", "title": "【緊急レポート】Microsoft社のデジタル署名ファイルを悪用する「SigLoader」による標的型攻撃を確認 | LAC WATCH", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 2371363, "plain_text": "【緊急レポート】Microsoft社のデジタル署名ファイルを悪用す\r\nる「SigLoader」による標的型攻撃を確認 | LAC WATCH\r\nBy 石川 芳浩\r\nPublished: 2020-12-01 · Archived: 2026-04-05 17:31:45 UTC\r\n【更新情報】2021年1月13日\r\nIOC(Indicator Of Compromised)を追記いたしました。\r\nラックの石川と松本です。\r\n2020年7月ごろから、Microsoft社のデジタル署名(コードサイニング証明書)されたDLLファイルを悪\r\n用するマルウェア「SigLoader」が使われた標的型攻撃を複数確認しています。攻撃者によって、正規\r\nのデジタル署名されたファイルを攻撃に悪用された場合、セキュリティ対策製品による検知をすり抜\r\nけ、広範囲にわたる攻撃活動を容易に実行される恐れがあります。\r\nデジタル署名DLLファイルを悪用するSigLoader\r\nデジタル署名されたファイルの改ざん手法\r\nSigLoaderを使用した攻撃手口の概要\r\nSigLoaderが読み込むファイル\r\nSigLoaderが利用する暗号化方法\r\nシェルコードによる2段目のSigloader(2nd)作成\r\nSigLoader(2nd)が読み込むファイルと暗号化方法\r\nシェルコードによる最後のペイロード作成\r\n最終的に実行されるペイロード(DelfsCake)\r\nまとめ\r\nIOC(Indicator Of Compromised)\r\nデジタル署名DLLファイルを悪用するSigLoader\r\n今回は、このMicrosoft社のデジタル署名されたファイルを悪用するSigLoaderの特徴を紹介します。な\r\nお、このSigLoaderを利用する攻撃者は、2020年12月1日に、APT10の可能性があることが@Int2e_氏に\r\nよってTwitter※1で報告されています。\r\n※1 https://twitter.com/Int2e_/status/1333501729359466502\r\n図1は、SigLoaderで悪用されたDLLファイル(wiaky002_CNC1755D.dll)のデジタル署名をWindowsの\r\nファイルプロパティまたはSigcheck※2で確認したものです。\r\n※2 Sigcheck - Windows Sysinternals | Microsoft Docs\r\n青線枠で示すように、署名の有効期間が2019年7月27日で失効しているため、エラーメッセージが出力\r\nされていますが、赤線枠のように「Signed」と検証されており、署名は正しいものであることがわかり\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 1 of 17\n\nます。\r\n図1 Microsoft社のデジタル署名を持つDLLファイルの署名の有効性確認\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 2 of 17\n\nまた、図2に示すように、このDLLファイルは、Windows 10で利用される「pkeyhelper.dll」のファイル\r\nメタ情報やPDBファイル情報を持つことが確認できます。\r\n図2 「wiaky002_CNC1755D.dll」のファイルメタ情報およびPDBファイル情報(一部抜\r\n粋)\r\nデジタル署名されたファイルの改ざん手法\r\nSigLoaderは、前述の通りMicrosoft社のデジタル署名されたDLLファイルを読み込み、攻撃に悪用しま\r\nす。一般的にデジタル署名が有効である場合は、署名した組織が実在することやデータが改ざんされ\r\nていないことなどが証明されており、万一、デジタル署名のあるファイルを改ざんした場合、デジタ\r\nル署名が無効であると検出されます。\r\nしかし、SigLoaderを利用する攻撃者は、デジタル署名されたDLLファイル内に存在する証明書テーブ\r\nル(Certificate Table)のサイズを拡張し、そのテーブル内のデータを変更することで、デジタル署名に\r\n影響を及ぼさずに、DLLファイルを改ざんしています。\r\nWindowsでは、デジタル署名のハッシュ計算にあたって証明書テーブルを対象範囲外としているため、\r\n証明書テーブルを改ざんしたとしてもハッシュ値が一致し、デジタル署名が有効であると表示されま\r\nす。この手法は、2009年にHugo氏のブログで報告※3されており、その後、2016年にはBlack Hat USAで\r\nも発表※4されています。\r\n※3 Changing a Signed Executable without Altering Windows Digital Signatures | Aymeric on Software\r\n※4 Certificate Bypass: Hiding and Executing Malware from a Digitally Signed Executable | Deep Instinct\r\n図3は、Microsoft社のデジタル署名された正規の「pkeyhelper.dll」とSigLoaderが悪用するMicrosoft社の\r\nデジタル署名された「wiaky002_CNC1755D.dll(pkeyhelper.dll)」を比較したものです。SigLoaderが悪\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 3 of 17\n\n用する改ざんされたDLLファイルには、正規のDLLファイルには存在しない、赤線枠の領域にデータが\r\n含まれていることが確認できます。\r\n図3 「pkeyhelper.dll」の比較(上:正規DLLファイル/下:改ざんされたDLLファイル)\r\nSigLoaderを使用した攻撃手口の概要\r\nSigLoaderは、DLL Side-Loadingを悪用して実行されます。正規の実行ファイルによって読み込まれた\r\nSigLoaderは、最初に実行ファイルと同じディレクトリ内にあるMicrosoft社のデジタル署名がされた\r\nDLLファイル、または暗号化されたペイロード(DATファイル)を読み込みデータを復号します。その\r\n後、復号したペイロードをメモリ領域に展開し実行します。最終的に実行されるペイロードは、2020\r\n年11月20日時点で3種類が確認できています。\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 4 of 17\n\n図4は、SigLoaderの挙動を示したものであり、SigLoaderを2段階で使用するケース(青矢印)と1段階の\r\nみのケース(赤矢印)の2パターン存在することを確認しています。\r\n図4 SigLoaderの動作概要図(一例)\r\n以降では、VMware製品の正規実行ファイル(ResolutionSet.exe)を悪用して、実行されるSigLoader\r\n(vmtools.dll)の攻撃手口を詳しくみていきます。\r\nSigLoaderが読み込むファイル\r\nSigLoaderには図5に示すように、Sigという文字列を起点に読み込むファイルや暗号化方法などがファ\r\nイル内にハードコード※5されており、このハードコードされた内容を利用してペイロードが展開され\r\nていきます。\r\n※5 別のSigLoaderでは、Sigという文字列や暗号化方法などが未記載のものも確認しています。このよ\r\nうなSigLoaderでは、暗号化方法が記載された箇所に暗号化キーなどが含まれています。\r\n図5 SigLoaderにハードコードされたファイル名や暗号化方法(一例)\r\nまずSigLoaderはMicrosoft社のデジタル署名されたDLLファイル「wiaky002_CNC1755D.dll」を読み込\r\nみ、ファイル内のオーバーレイ領域に含まれるデータを取得します。今回のケースでは、先ほど紹介\r\nした図3の赤線枠に示すオフセット0xBA488からデータ末尾(0xF4090)までを読み込み、そのコード\r\nをメモリ領域上に展開します。このオフセット値0xBA488は、データ末尾から図6に示すように、\r\n0x39C08(0x39C05から値を1増やし8の倍数で割り切れる値)バイト遡った値から算出されています。\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 5 of 17\n\n図6 読み込むデータのオフセットの計算式(一部抜粋)\r\nSigLoaderが利用する暗号化方法\r\n読み込まれたオーバーレイ領域に含まれるデータは、XOR+カスタムDES+AESによって暗号化されて\r\nいます。暗号化キーは図7に示すように、SigLoader自体にハードコードされており、AESキーと初期化\r\nベクトル(赤線枠)、カスタムDESで利用するキー(橙線枠)です。また、このSigLoaderには、2段目\r\nで利用されるSigLoader(2nd)のAESキーや初期化ベクトル(青線枠)、カスタムDESで利用するキー\r\n(緑線枠)もハードコードされています。\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 6 of 17\n\n図7 SigLoaderにハードコードされている暗号化キー(一部抜粋)\r\nSigLoaderはこれらの暗号化キーを使用して、オーバーレイ領域に読み込まれた暗号化データを図8の順\r\nで復号※6し、シェルコードをメモリ領域に展開します。復号は、AESでは鍵長256ビット、ブロックチ\r\nェイニングとしてCBCモードを使用し、カスタムDESでは、鍵長64ビット、ECBモードを使用します。\r\n復号後は、Call命令でシェルコードが展開されたメモリ領域を呼び出します。\r\n※6 別のSigLoaderでは暗号化アルゴリズムの適用順序や適用回数が異なる可能性があります。\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 7 of 17\n\n図8 SigLoaderによるデータ復号(一例)\r\nSigLoaderには、XOR、カスタムDES、AESの3種類の暗号化アルゴリズムが実装されています。これら\r\nのうち、SigLoaderで実装されているカスタムDESは、使用される定数に異常はないものの、サブ鍵生\r\n成アルゴリズムやラウンド関数などが標準のものと異なっており、標準の暗号化ライブラリでは暗号\r\n化されたデータを復号することができません。\r\nまた、これらのデータをエンコードするための処理が多数みられ、サブ鍵生成アルゴリズムやラウン\r\nド関数などは、攻撃者が自ら実装している可能性があります。また、コード内にRSAの実装を見据え\r\nた箇所があることから、今後RSAの処理に関しても実装される可能性があります。\r\nシェルコードによる2段目のSigloader(2nd)作成\r\n復号されたシェルコードは、SigLoader(2nd)を作成するために用いられます。図9は、シェルコード\r\nを一部デコンパイルしたものです。特徴的な文字列ecipekac(Cakepice)をチェックするコードが含ま\r\nれていることが確認できます。\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 8 of 17\n\n図9 シェルコード内の「ecipekac」を確認するコード(一部抜粋)\r\nこのシェルコードには、自身のコード内に以下の3つのコードが分割されて含まれており、これらを組\r\nみ合わせて、次のDLLファイルを読み込む2段目のSigloader(2nd)を作成します。分割されたデータの\r\n組み合わせ方法は、シェルコードに含まれる文字列ecipekacを起点に行われます。\r\nまた、この文字列以降の16バイトには、PEファイルを作成する際のメモリ領域を確保する際のサイズ\r\n0x39000(図10:橙線枠)およびSection Headersおよびプログラムコードのサイズ0x038E18(図10:紫\r\n線枠)が指定されています。\r\nSection Headersおよびプログラムコード(図10:緑線枠)\r\nNT Header(PE Header)(図11:青線枠)\r\nMS-DOS Header/Stub(図11:赤線枠)\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 9 of 17\n\n図10 Section Headersおよびプログラムコード(一部抜粋)\r\n図11 MS-DOS Header/StubおよびPE Header\r\nこれらのデータの組み換えに際して、最初に図11に示すように赤線枠のMZヘッダが含まれるMS-DOS\r\nHeader/Stub(0xE0バイト)を事前に確保したメモリー領域にコピーし、次に青線枠のPE Header(0x108\r\nバイト)、最後にtextセクションなどが含まれるSection Headersおよびプログラムコード(0x038E18)\r\nをコピーし、PEファイル(SigLoader)を作成します。その後は、Call命令で2段目のSigLoaderが展開さ\r\nれたメモリ領域を呼び出します。\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 10 of 17\n\nSigLoader(2nd)が読み込むファイルと暗号化方法\r\n2段目のSigLoader(2nd)は、前述したSigLoader(1st)とほぼ同様な作りです。SigLoader(2nd)は、\r\n図12に示すように、正規実行ファイルと同じディレクトリにあるMicrosoft社のデジタル署名されたDLL\r\nファイル「c_apo_ipoib6x.dll」のオーバーレイ領域に含まれるデータを読み込み、データを復号しま\r\nす。その後、復号したシェルコードをメモリ領域上に展開し、Call命令で呼び出します。\r\nこのDLLファイルは、図13に示すように、Windows 10で利用される「wintrust.dll」を改ざんしたもので\r\nす。展開されたシェルコードは、SigLoader(1st)によって作成された文字列Cakepiceを含むシェルコ\r\nードとは異なります。\r\nなお、データの暗号化方法については、SigLoader(1st)と同様のものが利用されており、データの復\r\n号順序は、SigLoader(1st)とは逆順のAES+XOR(Key=0x0)+カスタムDES+XOR(Key=0xBC)です。\r\nまた、AESおよびカスタムDESの暗号化キーについては、図7に示した青線枠と緑線枠のものが利用さ\r\nれています。\r\n図12 SigLoader(2nd)にハードコードされたファイル名や暗号化方法(一例)\r\n図13 「wintrust.dll」のファイルメタ情報およびPDBファイル情報(一部抜粋)\r\nシェルコードによる最後のペイロード作成\r\nSigLoader(2nd)によって復号されたシェルコードは、最後のペイロードを作成するために用いられま\r\nす。最後のペイロード(図14:青線枠)は、シェルコード内にRC4で暗号化されて含まれており、図14\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 11 of 17\n\nの赤線枠で示すRC4キーで復号することで最終的なペイロードをメモリ領域に展開します。復号後は、\r\nCall命令でペイロードが展開されたメモリ領域を呼び出します。\r\n図14 RC4キーおよび暗号化されたペイロード(一例)\r\n最終的に実行されるペイロード(DelfsCake)\r\n最終的に実行されるペイロード(DelfsCake)は、DLL形式で、C2サーバからデータやペイロードなど\r\nを受信して実行する機能を有します。\r\nDelfsCakeには、図15に示すようにRSA公開鍵(1024bit)がハードコードされており、この鍵を使用し\r\nて送信するデータを暗号化します。初期通信時に送信する内容は、図16の通りです。ユーザ名やコン\r\nピュータ名、プロセスID、OSバージョン、ビルド番号、ソケット名、実行日時、ランダムに生成した\r\n文字列などがC2サーバに送られます。\r\n図15 DelfsCakeにハードコードされたRSA公開鍵(一例)\r\n図16 送信されるデータの例(暗号化前)\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 12 of 17\n\nDelfsCakeには、表1に示すコマンドが実装されています。なお、コマンド「d」に関しては、コマンド\r\nの受信時のデータを使用してライブラリのロードと関数アドレスの取得を行い、その関数をCall命令で\r\n呼び出します。Call命令の際に引数として受信したデータを指定することから、単純なコマンド実行を\r\n行う命令ではないと考えます。\r\n表1 DelfsCakeのコマンド一覧\r\nまた、このDelfsCakeを実際に動作させてみましたが、2020年10月30日に確認した時点では、図17に示\r\nすように、C2サーバに接続後、RSTパケットが戻ってきており、C2サーバからデータは取得できてい\r\nないため、最終的にどのようなマルウェアが実行されるか不明です。\r\n図17 DLLファイルのC2サーバとの通信例\r\nSigLoaderによって展開される最終的なペイロードは、DelfsCakeの他にも2種類確認しています。1つ\r\nは、ペネトレーションツールであるMetasploit Framework※7 やCobalt Strike※8で作成されたシェルコー\r\nドです(図18)。シェルコードは、C2サーバと通信を確立した後、Cobalt Strike Beaconなど次のステー\r\nジのマルウェアをダウンロードし、実行します。このシェルコードには、特徴的な文字列\r\n(baidu.com)が複数ハードコードされていることが確認できます。\r\n※7 Metasploit | Penetration Testing Software, Pen Testing Security | Metasploit\r\n※8 Adversary Simulation and Red Team Operations Software - Cobalt Strike\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 13 of 17\n\n図18 ペネトレーションツールを利用して作成されたシェルコード(一部抜粋)\r\nもう1つも、次のステージのマルウェアをダウンロードし、実行することが主な機能と考えられるマル\r\nウェア(GreetCake)です。図19に示すようにRC4キーがハードコードされており、この鍵を使用して\r\n送信するデータを暗号化します。また、表2のような、いくつかのコマンド機能が実装されています。\r\nGreetCakeは、C2サーバから特定の命令コマンドを受信することによって、C2サーバからデータをダウ\r\nンロードし、復号後、PEファイルを実行します。図20に示すように、実行する前にPEファイル内に\r\n「hello」という文字列が含まれているか確認するというコードが特徴的です。\r\n表2 GreetCakeのコマンド一覧\r\n命令コマンド 説明\r\n0x12C C2通信の終了\r\n0x12D スレッドを作成し、PEファイルの実行\r\n0x12F データ送信(詳細不明)\r\n0x130 PEファイルの実行\r\n0x131 - 0x134 C2通信制御の設定(スリープ時間、タイムアウトなど)\r\n図19 GreetCakeにハードコードされたRC4キー(一例)\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 14 of 17\n\n図20 文字列「hello」を検索するコード(一部抜粋)\r\nこれら2種類のペイロードについても、DelfsCakeと同様にC2サーバからダウンロードされるデータは取\r\n得できていないため、最終的にどのようなマルウェアが実行されるかは不明です。\r\nまとめ\r\n今回は、Microsoft社のデジタル署名されたDLLファイルを悪用するSigLoaderについて紹介しました。\r\nSigLoaderは、デジタル署名されたDLLファイルの悪用、ペイロードの多段利用や攻撃者が独自に開発\r\nした暗号化方法の利用と高度な技術が組み込まれたローダです。暗号化方法では、RSAのコードが未\r\n実装であり、開発途中の可能性が窺えるため、今後も、さらに機能が向上したSigLoaderによる攻撃が\r\n続く可能性があります。\r\n加えて、今回のデジタル署名されたファイルの改ざん手法を悪用した攻撃は、実際のサイバー攻撃の\r\n事例としてあまり報告されておらず、既存のセキュリティー対策製品で検出できない可能性があり、\r\n注意が必要です。\r\n私たちがSigLoaderの攻撃を確認した事例の1つでは、攻撃者は標的組織への侵入経路として、SSL-VPN\r\n製品の脆弱性を悪用後、端末を侵害しSigLoaderを設置していました。SSL-VPN製品を悪用する攻撃\r\nは、標的型攻撃に限らず、金銭目的である攻撃者なども悪用しており、これらの製品の脆弱性を悪用\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 15 of 17\n\nされないためにも、日々の脆弱性情報の管理と修正パッチの適用や緩和策の適用などの早急な対応が\r\n求められます。\r\nまた、2020年10月ごろからZerologonの脆弱性※9が標的型攻撃で悪用されていることが、CISA※10や\r\nSymantec社※11から報告されていますので、この脆弱性についても十分に注意する必要があります。\r\n※9 CVE-2020-1472 - セキュリティ更新プログラム ガイド - Microsoft - Netlogon の特権の昇格の脆弱性\r\n※10 APT Actors Chaining Vulnerabilities Against SLTT, Critical Infrastructure, and Elections Organizations |\r\nCISA\r\n※11 Japan-Linked Organizations Targeted in Long-Running and Sophisticated Attack Campaign | Symantec\r\nBlogs\r\nラックの脅威分析チームでは、今後もこのSigLoaderを利用する攻撃者について、継続的に調査し、広\r\nく情報を提供していきますので、ご活用いただければ幸いです。\r\nIOC(Indicator Of Compromised)\r\n2021年1月13日 更新\r\nSigLoaderハッシュ値(MD5)\r\nbb45da230ee45e25df27a518dac0560a\r\ncca46fc64425364774e5d5db782ddf54\r\n42b6ab4bfa271019990960276e5c8176\r\n6c68753503b79998ee29f52ce0f08e72\r\n2e917dfcd0cf13e8c2a1bf4298d30794\r\nペイロード(MD5)\r\nf5061a2b19a6cbe7a93c5c2b8d6fb20e\r\n4638220ec2c6bc1406b5725c2d35edc3\r\n03413d12861a9cd61352e364139ff212\r\nd37964a9f7f56aad9433676a6df9bd19\r\nDelfsCake(MD5)\r\nfd722cfafc12774cebfb2edd3d2a5eff\r\nGreetCake(MD5)\r\n78e1f309154fca4341a251bb9cb1e790\r\nda2bd4a55a6291bdb3e8a81a60091611\r\n通信先\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 16 of 17\n\n85.204.74[.]113\r\n88.198.101[.]58\r\n81.7.7[.]159\r\nSource: https://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nhttps://www.lac.co.jp/lacwatch/report/20201201_002363.html\r\nPage 17 of 17", "extraction_quality": 1, "language": "JA", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://www.lac.co.jp/lacwatch/report/20201201_002363.html" ], "report_names": [ "20201201_002363.html" ], "threat_actors": [ { "id": "ec14074c-8517-40e1-b4d7-3897f1254487", "created_at": "2023-01-06T13:46:38.300905Z", "updated_at": "2026-04-10T02:00:02.918468Z", "deleted_at": null, "main_name": "APT10", "aliases": [ "Red Apollo", "HOGFISH", "BRONZE RIVERSIDE", "G0045", "TA429", "Purple Typhoon", "STONE PANDA", "Menupass Team", "happyyongzi", "CVNX", "Cloud Hopper", "ATK41", "Granite Taurus", "POTASSIUM" ], "source_name": "MISPGALAXY:APT10", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "ba9fa308-a29a-4928-9c06-73aafec7624c", "created_at": "2024-05-01T02:03:07.981061Z", "updated_at": "2026-04-10T02:00:03.750803Z", "deleted_at": null, "main_name": "BRONZE RIVERSIDE", "aliases": [ "APT10 ", "CTG-5938 ", "CVNX ", "Hogfish ", "MenuPass ", "MirrorFace ", "POTASSIUM ", "Purple Typhoon ", "Red Apollo ", "Stone Panda " ], "source_name": "Secureworks:BRONZE RIVERSIDE", "tools": [ "ANEL", "AsyncRAT", "ChChes", "Cobalt Strike", "HiddenFace", "LODEINFO", "PlugX", "PoisonIvy", "QuasarRAT", "QuasarRAT Loader", "RedLeaves" ], "source_id": "Secureworks", "reports": null }, { "id": "ba3fff0c-3ba0-4855-9eeb-1af9ee18136a", "created_at": "2022-10-25T15:50:23.298889Z", "updated_at": "2026-04-10T02:00:05.316886Z", "deleted_at": null, "main_name": "menuPass", "aliases": [ "menuPass", "POTASSIUM", "Stone Panda", "APT10", "Red Apollo", "CVNX", "HOGFISH", "BRONZE RIVERSIDE" ], "source_name": "MITRE:menuPass", "tools": [ "certutil", "FYAnti", "UPPERCUT", "SNUGRIDE", "P8RAT", "RedLeaves", "SodaMaster", "pwdump", "Mimikatz", "PlugX", "PowerSploit", "ChChes", "cmd", "QuasarRAT", "AdFind", "Cobalt Strike", "PoisonIvy", "EvilGrab", "esentutl", "Impacket", "Ecipekac", "PsExec", "HUI Loader" ], "source_id": "MITRE", "reports": null } ], "ts_created_at": 1775434083, "ts_updated_at": 1775826709, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/3f7e98951881aa74695875c37815b4e77292c717.pdf", "text": "https://archive.orkl.eu/3f7e98951881aa74695875c37815b4e77292c717.txt", "img": "https://archive.orkl.eu/3f7e98951881aa74695875c37815b4e77292c717.jpg" } }