マルウエアLODEINFOの進化 - JPCERT/CC Eyes
By 喜野 孝太(Kota Kino)
Published: 2020-06-10 · Archived: 2026-04-05 22:57:25 UTC
2020/06/11
LODEINFO
以前のブログで、日本国内の組織を狙ったマルウエアLODEINFOについて紹介しました。JPCERT/CC
では、現在もこのマルウエアを使用した攻撃が活発に行われていることを確認しており、新型コロナ
ウイルスに関連したファイル名などを使って、感染を広げようとする動きが見られます。また、
LODEINFOは頻繁にアップデートが行われており、複数の機能が追加・変更されていることを確認し
ています。
今回は、LODEINFOの一連の攻撃の中で見られた傾向と、アップデート内容について紹介します。
LODEINFOを配信する手口
確認されている全ての攻撃の起点は、添付ファイル付きの標的型攻撃メールです。添付ファイルには
Word文書、またはExcel文書が使用されており、添付ファイルを開いてマクロを有効化することで、内
包していたLODEINFOがホスト上に作成、実行されます。 標的型攻撃メールに使用されているメール
と添付ファイルの内容は、以下のようなものを確認しています。
新型コロナウイルスを題材にしたもの
日露や日韓の外交を題材にしたもの
企業への履歴書や申し込みを装ったもの
攻撃対象の業種としては、メディア系、公共系を確認しています。また、標的型攻撃メールの送信に
は、フリーのメールアドレス（Gmail等）を使用している傾向が見られます。
LODEINFOのバージョン
以前のブログで紹介したLODEINFOのバージョンは、v0.1.2でしたが、本ブログ執筆時点で確認してい
る最新バージョンは、v0.3.6となっています。また、JPCERT/CCでは以下のバージョンのLODEINFOが
存在することを確認しています。
https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html
Page 1 of 10

図 1：バージョンの推移
なお、各バージョンで追加された主な機能としては、以下のようなものを確認しています。
バージョン 機能追加
v0.2.7
データ送受信フォーマットの一部変更
既存コマンドの拡張（ver）
Mutexの作成
v0.3.2
新規コマンドの追加（print）
永続化処理の追加
v0.3.5 新規コマンドの追加（rm、ransom、keylog）
新規コマンドの追加
現時点での最新バージョン（v0.3.6）では、前回のv0.1.2の検体から以下のコマンドが追加されていま
す。
print
rm
ransom
keylog
printコマンドは感染ホストのスクリーンキャプチャを取得し、rmコマンドは指定されたファイルの削
除を行います。 例えばrmコマンドを実行した場合、ファイル削除後、以下のような実行結果がC&Cサ
ーバ宛てに送信されます。
1590318292|932|080027D50FB0|DESKTOP-J783225C:\Users\Public\Pictures\Sample Pictures\Chrysanthemum.jpg
C:\Users\Public\Pictures\Sample Pictures\Desert.jpg: OK.
https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html
Page 2 of 10

C:\Users\Public\Pictures\Sample Pictures\desktop.ini: OK.
C:\Users\Public\Pictures\Sample Pictures\Hydrangeas.jpg: OK.
C:\Users\Public\Pictures\Sample Pictures\Jellyfish.jpg: OK.
C:\Users\Public\Pictures\Sample Pictures\Koala.jpg: OK.
C:\Users\Public\Pictures\Sample Pictures\Lighthouse.jpg: OK.
C:\Users\Public\Pictures\Sample Pictures\Penguins.jpg: OK.
C:\Users\Public\Pictures\Sample Pictures\Tulips.jpg: OK.
ransom、keylogコマンドについては、現時点で確認しているバージョンでは未実装となっており、コマ
ンドを実行しても以下のような結果だけがC&Cサーバ宛てに送信されます。
1590318292|932|080027D50FB0|DESKTOP-J783225Not available
ただし、コマンド名から推測すると、将来的にファイルの暗号化やキーログ機能が搭載される可能性
があるかもしれません。
図 2：コマンドの一覧
https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html
Page 3 of 10

図 3：ransom、keylogコマンド処理部
データ送受信フォーマットの一部変更
LODEINFOは、AESとBASE64を組み合わせてデータの暗号化を行っていますが、データをBASE64デ
コードした後のオフセット0x45の位置には、AESで暗号化されたデータのサイズが記載されています。
図 4：変更前のデータフォーマット
前回のv0.1.2の検体では、該当部分にデータサイズがそのまま記載されていましたが、v0.2.7以降の検
体からは、オフセット0x49の位置に新しく1byteのXORキーが記載されるようになり、オフセット0x45
のデータサイズにはXORキーでエンコードされた値が記載されるようになっています。
図 5：変更後のデータフォーマット
https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html
Page 4 of 10

図 6：XORの処理部
上記の変更によって、以前に紹介したHTTP POSTリクエストのデータを復号するコードが正常に動作
しなくなっているため、以下に対応したコードの一部を記載します。
from Crypto.Cipher import AES
from base64 import urlsafe_b64decode
from binascii import a2b_hex
def decypt_lodeinfo_data(enc_data: str, key: bytes, iv: bytes) -> bytes:
 header_b64 = enc_data[:0x1C]
 header = urlsafe_b64decode(header_b64.replace(".", "="))
 ## decode with base64
 postdata_size = int.from_bytes(header[0x10:0x14], byteorder="little")
 postdata_b64 = enc_data[0x1C:0x1C+postdata_size]
 postdata = urlsafe_b64decode(postdata_b64.replace(".", "="))
 ## decrypt with AES
 cipher = AES.new(key, AES.MODE_CBC, iv)
 xor_key = postdata[0x34]
 decrypt_size = int.from_bytes([b ^ xor_key for b in postdata[0x30:0x34]],byteorder="little")
 dec_data = cipher.decrypt(postdata[0x35:0x35+decrypt_size])
 ## remove junk bytes
 junk_size = dec_data[-1]
 dec_data = dec_data[:decrypt_size-junk_size]
 return dec_data
encrypted_data = "njgGCEgbkXQIgexSrDm3O7QAAADuSiTM6xoP8ResYAybhHoRx9W-Ulw_ealn9gIEjvsZzqQXG8vn3QYoIfm
https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html
Page 5 of 10

KEY = a2b_hex("7306ED96A7D75BAB94C4F15AAF0A9E61690F0E300FEA9135764C206580DF2970")
IV = a2b_hex("D5C5376805264812B3ED88BE4A614A1A")
decrypted_data = decypt_lodeinfo_data(encrypted_data, KEY ,IV)
print("Decrypted Data: ", bytes.hex(decrypted_data))
LODEINFOの起動方法の変化
以前のLODEINFOでは、Word文書のマクロを有効化した際に、LODEINFOのDLLファイルをホスト上
に作成し、rundll32.exe を使って実行していました。しかし、v0.3.2以降からは、DLLファイルと一緒に
正規のWindows実行ファイルを作成し、DLLサイドローディングを使ってLODEINFOを実行するように
手法が変わっています。
図 7：起動方法の変化（左: rundll32.exeによる実行、右: DLLサイドローディングによる実
行）
LODEINFOの通信特徴
LODEINFOはUser-Agentが検体内部でハードコードされており、v0.2.7までは以下が使用されていま
す。
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90
また、v0.3.2以降では以下が使用されています。
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102
C&Cサーバのインフラには、様々な国のISPが利用されています。
https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html
Page 6 of 10

図 8：C&Cサーバのインフラ分布
 
おわりに
マルウエアLODEINFOの開発は頻繁に行われており、同様に攻撃も継続して確認されています。 今後
もこのマルウエアを使用した攻撃が続く可能性がありますので、引き続き注意が必要です。
なお、今回解説した検体のハッシュ値をAppendix A、新たに確認した通信先をAppendix Bに記載してい
ます。 Appendix Bの通信先に対して通信が発生していないかをご確認ください。
インシデントレスポンスグループ 喜野 孝太、佐條 研
Appendix A 検体のハッシュ値
65433fd59c87acb8d55ea4f90a47e07fea86222795d015fe03fba18717700849 （v0.3.6）
8c062fef5a04f34f4553b5db57cd1a56df8a667260d6ff741f67583aed0d4701 （v0.3.5）
1cc809788663e6491fce42c758ca3e52e35177b83c6f3d1b3ab0d319a350d77d （v0.3.2）
Appendix B 通信先
103.27.184.27
103.140.187.183
103.204.172.210
133.130.121.44
167.179.101.46
167.179.112.74
172.105.232.89
194.68.27.49
www.amebaoor.net
https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html
Page 7 of 10

喜野 孝太(Kota Kino)
2019年8月から現職。主に、マルウェア分析・フォレンジック調査に従事。
関連記事
JSAC2026 開催レポート～DAY 2～
攻撃グループAPT-C-60による攻撃のアップデート
https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html
Page 8 of 10

Cobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻
撃
Ivanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア
Ivanti Connect Secureに設置されたマルウェアDslogdRAT
https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html
Page 9 of 10

Source: https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html
https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html
Page 10 of 10

 https://blogs.jpcert.or.jp/ja/2020/06/LODEINFO-2.html 
C:\Users\Public\Pictures\Sample Pictures\desktop.ini: OK.
C:\Users\Public\Pictures\Sample Pictures\Hydrangeas.jpg: OK.
C:\Users\Public\Pictures\Sample Pictures\Jellyfish.jpg: OK.
C:\Users\Public\Pictures\Sample Pictures\Koala.jpg: OK.
C:\Users\Public\Pictures\Sample Pictures\Lighthouse.jpg: OK.
C:\Users\Public\Pictures\Sample Pictures\Penguins.jpg: OK.
C:\Users\Public\Pictures\Sample Pictures\Tulips.jpg: OK.
ransom、keylogコマンドについては、現時点で確認しているバージョンでは未実装となっており、コマ  
ンドを実行しても以下のような結果だけがC&Cサーバ宛てに送信されます。  
1590318292|932|080027D50FB0|DESKTOP-J783225Not  available
ただし、コマンド名から推測すると、将来的にファイルの暗号化やキーログ機能が搭載される可能性  
があるかもしれません。  
図 2：コマンドの一覧  
  Page 3 of 10