{
	"id": "ea344801-20bc-43bb-9a56-9d9637f33dc0",
	"created_at": "2026-04-06T00:21:39.601773Z",
	"updated_at": "2026-04-10T03:30:11.92233Z",
	"deleted_at": null,
	"sha1_hash": "5503a5a18a4ca8bf313cfe7420e7a4d8a0768324",
	"title": "マルウエアLODEINFOの進化 - JPCERT/CC Eyes",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1537462,
	"plain_text": "マルウエアLODEINFOの進化 - JPCERT/CC Eyes\r\nBy 喜野 孝太(Kota Kino)\r\nPublished: 2020-06-10 · Archived: 2026-04-05 22:57:25 UTC\r\n2020/06/11\r\nLODEINFO\r\n以前のブログで、日本国内の組織を狙ったマルウエアLODEINFOについて紹介しました。JPCERT/CC\r\nでは、現在もこのマルウエアを使用した攻撃が活発に行われていることを確認しており、新型コロナ\r\nウイルスに関連したファイル名などを使って、感染を広げようとする動きが見られます。また、\r\nLODEINFOは頻繁にアップデートが行われており、複数の機能が追加・変更されていることを確認し\r\nています。\r\n今回は、LODEINFOの一連の攻撃の中で見られた傾向と、アップデート内容について紹介します。\r\nLODEINFOを配信する手口\r\n確認されている全ての攻撃の起点は、添付ファイル付きの標的型攻撃メールです。添付ファイルには\r\nWord文書、またはExcel文書が使用されており、添付ファイルを開いてマクロを有効化することで、内\r\n包していたLODEINFOがホスト上に作成、実行されます。 標的型攻撃メールに使用されているメール\r\nと添付ファイルの内容は、以下のようなものを確認しています。\r\n新型コロナウイルスを題材にしたもの\r\n日露や日韓の外交を題材にしたもの\r\n企業への履歴書や申し込みを装ったもの\r\n攻撃対象の業種としては、メディア系、公共系を確認しています。また、標的型攻撃メールの送信に\r\nは、フリーのメールアドレス（Gmail等）を使用している傾向が見られます。\r\nLODEINFOのバージョン\r\n以前のブログで紹介したLODEINFOのバージョンは、v0.1.2でしたが、本ブログ執筆時点で確認してい\r\nる最新バージョンは、v0.3.6となっています。また、JPCERT/CCでは以下のバージョンのLODEINFOが\r\n存在することを確認しています。\r\nhttps://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html\r\nPage 1 of 10\n\n図 1：バージョンの推移\r\nなお、各バージョンで追加された主な機能としては、以下のようなものを確認しています。\r\nバージョン 機能追加\r\nv0.2.7\r\nデータ送受信フォーマットの一部変更\r\n既存コマンドの拡張（ver）\r\nMutexの作成\r\nv0.3.2\r\n新規コマンドの追加（print）\r\n永続化処理の追加\r\nv0.3.5 新規コマンドの追加（rm、ransom、keylog）\r\n新規コマンドの追加\r\n現時点での最新バージョン（v0.3.6）では、前回のv0.1.2の検体から以下のコマンドが追加されていま\r\nす。\r\nprint\r\nrm\r\nransom\r\nkeylog\r\nprintコマンドは感染ホストのスクリーンキャプチャを取得し、rmコマンドは指定されたファイルの削\r\n除を行います。 例えばrmコマンドを実行した場合、ファイル削除後、以下のような実行結果がC\u0026Cサ\r\nーバ宛てに送信されます。\r\n1590318292|932|080027D50FB0|DESKTOP-J783225C:\\Users\\Public\\Pictures\\Sample Pictures\\Chrysanthemum.jpg\r\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Desert.jpg: OK.\r\nhttps://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html\r\nPage 2 of 10\n\nC:\\Users\\Public\\Pictures\\Sample Pictures\\desktop.ini: OK.\r\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Hydrangeas.jpg: OK.\r\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Jellyfish.jpg: OK.\r\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Koala.jpg: OK.\r\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Lighthouse.jpg: OK.\r\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Penguins.jpg: OK.\r\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Tulips.jpg: OK.\r\nransom、keylogコマンドについては、現時点で確認しているバージョンでは未実装となっており、コマ\r\nンドを実行しても以下のような結果だけがC\u0026Cサーバ宛てに送信されます。\r\n1590318292|932|080027D50FB0|DESKTOP-J783225Not available\r\nただし、コマンド名から推測すると、将来的にファイルの暗号化やキーログ機能が搭載される可能性\r\nがあるかもしれません。\r\n図 2：コマンドの一覧\r\nhttps://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html\r\nPage 3 of 10\n\n図 3：ransom、keylogコマンド処理部\r\nデータ送受信フォーマットの一部変更\r\nLODEINFOは、AESとBASE64を組み合わせてデータの暗号化を行っていますが、データをBASE64デ\r\nコードした後のオフセット0x45の位置には、AESで暗号化されたデータのサイズが記載されています。\r\n図 4：変更前のデータフォーマット\r\n前回のv0.1.2の検体では、該当部分にデータサイズがそのまま記載されていましたが、v0.2.7以降の検\r\n体からは、オフセット0x49の位置に新しく1byteのXORキーが記載されるようになり、オフセット0x45\r\nのデータサイズにはXORキーでエンコードされた値が記載されるようになっています。\r\n図 5：変更後のデータフォーマット\r\nhttps://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html\r\nPage 4 of 10\n\n図 6：XORの処理部\r\n上記の変更によって、以前に紹介したHTTP POSTリクエストのデータを復号するコードが正常に動作\r\nしなくなっているため、以下に対応したコードの一部を記載します。\r\nfrom Crypto.Cipher import AES\r\nfrom base64 import urlsafe_b64decode\r\nfrom binascii import a2b_hex\r\ndef decypt_lodeinfo_data(enc_data: str, key: bytes, iv: bytes) -\u003e bytes:\r\n header_b64 = enc_data[:0x1C]\r\n header = urlsafe_b64decode(header_b64.replace(\".\", \"=\"))\r\n ## decode with base64\r\n postdata_size = int.from_bytes(header[0x10:0x14], byteorder=\"little\")\r\n postdata_b64 = enc_data[0x1C:0x1C+postdata_size]\r\n postdata = urlsafe_b64decode(postdata_b64.replace(\".\", \"=\"))\r\n ## decrypt with AES\r\n cipher = AES.new(key, AES.MODE_CBC, iv)\r\n xor_key = postdata[0x34]\r\n decrypt_size = int.from_bytes([b ^ xor_key for b in postdata[0x30:0x34]],byteorder=\"little\")\r\n dec_data = cipher.decrypt(postdata[0x35:0x35+decrypt_size])\r\n ## remove junk bytes\r\n junk_size = dec_data[-1]\r\n dec_data = dec_data[:decrypt_size-junk_size]\r\n return dec_data\r\nencrypted_data = \"njgGCEgbkXQIgexSrDm3O7QAAADuSiTM6xoP8ResYAybhHoRx9W-Ulw_ealn9gIEjvsZzqQXG8vn3QYoIfm\r\nhttps://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html\r\nPage 5 of 10\n\nKEY = a2b_hex(\"7306ED96A7D75BAB94C4F15AAF0A9E61690F0E300FEA9135764C206580DF2970\")\r\nIV = a2b_hex(\"D5C5376805264812B3ED88BE4A614A1A\")\r\ndecrypted_data = decypt_lodeinfo_data(encrypted_data, KEY ,IV)\r\nprint(\"Decrypted Data: \", bytes.hex(decrypted_data))\r\nLODEINFOの起動方法の変化\r\n以前のLODEINFOでは、Word文書のマクロを有効化した際に、LODEINFOのDLLファイルをホスト上\r\nに作成し、rundll32.exe を使って実行していました。しかし、v0.3.2以降からは、DLLファイルと一緒に\r\n正規のWindows実行ファイルを作成し、DLLサイドローディングを使ってLODEINFOを実行するように\r\n手法が変わっています。\r\n図 7：起動方法の変化（左: rundll32.exeによる実行、右: DLLサイドローディングによる実\r\n行）\r\nLODEINFOの通信特徴\r\nLODEINFOはUser-Agentが検体内部でハードコードされており、v0.2.7までは以下が使用されていま\r\nす。\r\nMozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90\r\nまた、v0.3.2以降では以下が使用されています。\r\nMozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102\r\nC\u0026Cサーバのインフラには、様々な国のISPが利用されています。\r\nhttps://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html\r\nPage 6 of 10\n\n図 8：C\u0026Cサーバのインフラ分布\r\n \r\nおわりに\r\nマルウエアLODEINFOの開発は頻繁に行われており、同様に攻撃も継続して確認されています。 今後\r\nもこのマルウエアを使用した攻撃が続く可能性がありますので、引き続き注意が必要です。\r\nなお、今回解説した検体のハッシュ値をAppendix A、新たに確認した通信先をAppendix Bに記載してい\r\nます。 Appendix Bの通信先に対して通信が発生していないかをご確認ください。\r\nインシデントレスポンスグループ 喜野 孝太、佐條 研\r\nAppendix A 検体のハッシュ値\r\n65433fd59c87acb8d55ea4f90a47e07fea86222795d015fe03fba18717700849 （v0.3.6）\r\n8c062fef5a04f34f4553b5db57cd1a56df8a667260d6ff741f67583aed0d4701 （v0.3.5）\r\n1cc809788663e6491fce42c758ca3e52e35177b83c6f3d1b3ab0d319a350d77d （v0.3.2）\r\nAppendix B 通信先\r\n103.27.184.27\r\n103.140.187.183\r\n103.204.172.210\r\n133.130.121.44\r\n167.179.101.46\r\n167.179.112.74\r\n172.105.232.89\r\n194.68.27.49\r\nwww.amebaoor.net\r\nhttps://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html\r\nPage 7 of 10\n\n喜野 孝太(Kota Kino)\r\n2019年8月から現職。主に、マルウェア分析・フォレンジック調査に従事。\r\n関連記事\r\nJSAC2026 開催レポート～DAY 2～\r\n攻撃グループAPT-C-60による攻撃のアップデート\r\nhttps://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html\r\nPage 8 of 10\n\nCobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻\r\n撃\r\nIvanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア\r\nIvanti Connect Secureに設置されたマルウェアDslogdRAT\r\nhttps://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html\r\nPage 9 of 10\n\nSource: https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html\r\nhttps://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html\r\nPage 10 of 10\n\n https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html \nC:\\Users\\Public\\Pictures\\Sample Pictures\\desktop.ini: OK.\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Hydrangeas.jpg: OK.\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Jellyfish.jpg: OK.\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Koala.jpg: OK.\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Lighthouse.jpg: OK.\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Penguins.jpg: OK.\nC:\\Users\\Public\\Pictures\\Sample Pictures\\Tulips.jpg: OK.\nransom、keylogコマンドについては、現時点で確認しているバージョンでは未実装となっており、コマ  \nンドを実行しても以下のような結果だけがC\u0026Cサーバ宛てに送信されます。  \n1590318292|932|080027D50FB0|DESKTOP-J783225Not  available\nただし、コマンド名から推測すると、将来的にファイルの暗号化やキーログ機能が搭載される可能性  \nがあるかもしれません。  \n図 2：コマンドの一覧  \n  Page 3 of 10",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html"
	],
	"report_names": [
		"LODEINFO-2.html"
	],
	"threat_actors": [
		{
			"id": "15b8d5d8-32cf-408b-91b1-5d6ac1de9805",
			"created_at": "2023-07-20T02:00:08.724751Z",
			"updated_at": "2026-04-10T02:00:03.341845Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "MISPGALAXY:APT-C-60",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "ab47428c-7a8e-4ee8-9c8e-4e55c94d2854",
			"created_at": "2024-12-28T02:01:54.668462Z",
			"updated_at": "2026-04-10T02:00:04.564201Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "ETDA:APT-C-60",
			"tools": [
				"SpyGlace"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434899,
	"ts_updated_at": 1775791811,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/5503a5a18a4ca8bf313cfe7420e7a4d8a0768324.pdf",
		"text": "https://archive.orkl.eu/5503a5a18a4ca8bf313cfe7420e7a4d8a0768324.txt",
		"img": "https://archive.orkl.eu/5503a5a18a4ca8bf313cfe7420e7a4d8a0768324.jpg"
	}
}