{
	"id": "28ce6ff0-f139-4ff3-a886-0c1f71dfdf51",
	"created_at": "2026-04-06T00:15:07.347917Z",
	"updated_at": "2026-04-10T13:11:47.244297Z",
	"deleted_at": null,
	"sha1_hash": "f82df51b447c9252907376c217a68f91a9e884f2",
	"title": "オープンソースのRATを改良したマルウエアRedLeaves(2017-04-03) - JPCERT/CC Eyes",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1107935,
	"plain_text": "オープンソースのRATを改良したマルウエアRedLeaves(2017-\r\n04-03) - JPCERT/CC Eyes\r\nBy 朝長 秀誠 (Shusei Tomonaga)\r\nPublished: 2017-04-02 · Archived: 2026-04-05 15:39:40 UTC\r\nRedLeaves\r\nオープンソースのRATを改良したマルウエアRedLeaves\r\nJPCERT/CCでは2016年10月頃から、RedLeavesと呼ばれるマルウエアに感染したことによる情報漏えい\r\nなどの被害事例を複数確認しています。RedLeavesは2016年以降、新たに確認されるようになったマル\r\nウエアで、標的型攻撃メールで送信されています。\r\n今回は、RedLeavesの詳細や分析の結果判明したRedLeavesとPlugXとの関連性、RedLeavesが作成される\r\nベースとなったツールについて紹介します。\r\nRedLeavesが動作するまでの流れ\r\nRedLeavesが動作するまでの流れを、図1に示しています。\r\n図 1：RedLeavesが動作するまでの流れ\r\nJPCERT/CCで確認している検体は、実行されると以下の3つのファイルを%TEMP%フォルダに作成し、\r\n正規アプリケーションを実行します。\r\n正規アプリケーション（EXEファイル）: 同じフォルダに存在するDLLファイルを読み込む署名\r\nされた実行ファイル\r\nローダー（DLLファイル）: 正規ファイルにより読み込まれる不正なDLLファイル\r\nエンコードされたRedLeaves（DATAファイル）: ローダーに読み込まれるエンコードされたデー\r\nタ\r\nhttps://www.jpcert.or.jp/magazine/acreport-redleaves.html\r\nPage 1 of 9\n\n実行された正規アプリケーションは、DLL Hijacking（DLLプリローディング）によって同じフォルダ\r\n内に存在するローダーをロードします。DLL Hijackingについて詳しくは[1]を参照してください。\r\n正規アプリケーションにロードされたローダーは、エンコードされたRedLeavesを読み込み、デコード\r\nし、実行します。実行されたRedLeavesは設定内容に応じてプロセス（Internet Explorer）を起動し、自\r\n身をインジェクションします。その後、RedLeavesはインジェクションされたプロセスの中で動作する\r\nようになります。以降では、インジェクションされたRedLeavesの詳細な挙動を解説します。\r\nRedLeavesの挙動の詳細\r\nRedLeavesは、特定のサイトとHTTPまたは独自プロトコルで通信を行い、受信した命令を実行するマ\r\nルウエアです。図2はインジェクションされたRedLeavesのPEヘッダ部分です。”MZ”や”PE”などの文字\r\n列が”0xFF 0xFF”で削除されています。\r\n図 2： インジェクションされたRedLeaves\r\nインジェクションされたRedLeavesは、HTTP POSTリクエストまたは独自プロトコルでC\u0026Cサーバに接\r\n続します。通信先や通信方式については、設定情報に含まれています。設定情報の詳細に関しては、\r\nAppendix Aをご覧ください。\r\n以下は、HTTP POSTリクエストの例です。送信するデータのフォーマットについては、Appendix B表\r\nB-1、表B-2をご覧ください。\r\nPOST /YJCk8Di/index.php\r\nConnection: Keep-Alive\r\nAccept: */*\r\nContent-Length: 140\r\nHost: 67.205.132.17:443\r\n[データ]\r\nデータはRC4で暗号化（キーは設定情報に含まれている）されており、以下のような内容が含まれてい\r\nます。\r\n__msgid=23.__serial=0.clientid=A58D72524B51AA4DBBB70431BD3DBBE9\r\nC\u0026Cサーバから受信するデータには、コマンドなどが含まれており、受信したコマンドに応じて、以\r\n下の機能を実行します。（受信するデータについてはAppendix B表B-3をご覧ください）\r\nhttps://www.jpcert.or.jp/magazine/acreport-redleaves.html\r\nPage 2 of 9\n\nファイル関連の操作\r\n任意のシェルコマンド実行\r\n通信方式の設定\r\nドライブ情報の送信\r\nシステム情報の送信\r\nファイルアップロード・ダウンロード\r\nスクリーンキャプチャ\r\nプロキシ機能の実行\r\nRedLeavesのベースとなったコード\r\n以上のような機能を持つRedLeavesですが、分析した結果Github上で公開されているTrochilus[2]と呼ば\r\nれるRAT（Remote Administration Tool）のソースコードと類似する部分が多数あることを確認しまし\r\nた。図3は、送受信するデータを処理するコードの一部です。Appendix B表B-3で記載した内容と同じデ\r\nータを処理していることが分かります。\r\n図 3： Trochilusのソースコードの一部\r\nRedLeavesは、一から作成されたわけではなくTrochilusのソースコードを改良して作成されたと考えら\r\nれます。\r\nPlugXとの関連性\r\nJPCERT/CCで確認しているRedLeavesと、過去に特定の攻撃グループが使用していたPlugXを比較する\r\nと、一部の処理に類似のコード使われていることが分かりました。以下は、本体が3つのファイル（正\r\n規アプリケーション、ローダー、エンコードされたRedLeavesまたはPlugX）を作成する際の処理で\r\nす。\r\nhttps://www.jpcert.or.jp/magazine/acreport-redleaves.html\r\nPage 3 of 9\n\n図 4： ファイル作成処理の比較\r\nさらに、ローダーがエンコードされたデータ（エンコードされたRedLeavesまたはPlugX）をデコード\r\nする処理も類似しています。\r\n図 5： ファイルデコード処理の比較\r\nまた、上記の類似のコードを持つRedLeavesとPlugXの検体の中には同じ通信先を使用するものが存在\r\nすることを確認しています。このことから、RedLeavesを使用している攻撃グループは、RedLeavesを使\r\n用する以前はPlugXを使って攻撃を行っていたと考えられます。\r\nおわりに\r\nhttps://www.jpcert.or.jp/magazine/acreport-redleaves.html\r\nPage 4 of 9\n\nRedLeavesは、2016年から確認されるようになった新しいマルウエアです。現在も標的型攻撃メールと\r\nして送信されており、今後もRedLeavesを悪用した攻撃は続く可能性があるため、注意が必要です。\r\n今回解説した検体のハッシュ値に関しては、Appendix Cに記載しています。また、これまでJPCERT/CC\r\nで確認しているRedLeavesの通信先の一部はAppendix Dに記載していますので、このような通信先にア\r\nクセスしている端末がないかご確認ください。\r\n分析センター 朝長 秀誠\r\n参考情報\r\n[1] JPCERT/CC分析センターだより: 巧妙化するDLL hijacking ～ CVE2011-1991を悪用する攻撃 ～(2013-\r\n01-31)\r\n　　https://blogs.jpcert.or.jp/ja/2013/01/vol1.html\r\n[2] Trochilus: A fast\u0026free windows remote administration Tool\r\n　　https://github.com/5loyd/trochilus\r\nAppendix A 設定情報\r\n表 A: 設定情報の一覧\r\nオフセット 説明 備考\r\n0x000 通信先1  \r\n0x040 通信先2  \r\n0x080 通信先3  \r\n0x0C0 ポート番号  \r\n0x1D0 通信モード 1=TCP, 2=HTTP, 3=HTTPS, 4=TCP and HTTP\r\n0x1E4 ID  \r\n0x500 Mutex  \r\n0x726 インジェクションプロセス  \r\n0x82A RC4キー 通信の暗号化に使用\r\nRC4キーの例\r\nLucky123\r\nproblems\r\n20161213\r\njohn1234\r\nminasawa\r\nAppendix B 送受信データの内容\r\nhttps://www.jpcert.or.jp/magazine/acreport-redleaves.html\r\nPage 5 of 9\n\n表 B-1: HTTP POSTリクエストで送信されるデータフォーマット\r\nオフセット 長さ 内容\r\n0x00 4 RC4暗号化されたデータ長 （RC4キーの先頭の4バイトでXOR）\r\n0x04 4 Server id （RC4キーの先頭の4バイトでXOR）\r\n0x08 4 固定値\r\n0x0C - RC4暗号化されたデータ\r\n表 B-2: 独自プロトコルで送信されるデータフォーマット\r\nオフセット 長さ 内容\r\n0x00 4 ランダムな数値\r\n0x04 4 固定値\r\n0x08 4 長さ\r\n0x0C 4 RC4暗号化されたデータ長 （RC4キーの先頭の4バイトでXOR）\r\n0x10 4 Server id （RC4キーの先頭の4バイトでXOR）\r\n0x14 4 固定値\r\n0x18 - RC4暗号化されたデータ\r\n表 B-3: 受信データに含まれる内容\r\n文字列 種類 内容\r\n__msgid 数値 コマンド\r\n__serial 数値  \r\n__upt true など コマンドをスレッド実行するか\r\n__data データ コマンドパラメータなど\r\nAppendix C 検体のSHA-256ハッシュ値\r\nRedLeaves\r\n・5262cb9791df50fafcb2fbd5f93226050b51efe400c2924eecba97b7ce437481\r\nPlugX\r\n・fcccc611730474775ff1cfd4c60481deef586f01191348b07d7a143d174a07b0\r\nhttps://www.jpcert.or.jp/magazine/acreport-redleaves.html\r\nPage 6 of 9\n\nAppendix D 通信先一覧\r\n・mailowl.jkub.com\r\n・windowsupdates.itemdb.com\r\n・microsoftstores.itemdb.com\r\n・67.205.132.17\r\n・144.168.45.116\r\n朝長 秀誠 (Shusei Tomonaga)\r\n外資系ITベンダーでのセキュリティ監視・分析業務を経て、2012年12月から現職。現在は、マルウェ\r\nア分析・フォレンジック調査に従事。主に、標的型攻撃に関するインシデント分析を行っている。\r\nCODE BLUE、BsidesLV、BlackHat USA Arsenal、Botconf、PacSec、FIRSTなどで講演。JSACオーガナ\r\nイザー。\r\n関連記事\r\nJSAC2026 開催レポート～DAY 2～\r\nhttps://www.jpcert.or.jp/magazine/acreport-redleaves.html\r\nPage 7 of 9\n\n攻撃グループAPT-C-60による攻撃のアップデート\r\nCobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻\r\n撃\r\nIvanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア\r\nhttps://www.jpcert.or.jp/magazine/acreport-redleaves.html\r\nPage 8 of 9\n\nIvanti Connect Secureに設置されたマルウェアDslogdRAT\r\nSource: https://www.jpcert.or.jp/magazine/acreport-redleaves.html\r\nhttps://www.jpcert.or.jp/magazine/acreport-redleaves.html\r\nPage 9 of 9",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"ETDA",
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.jpcert.or.jp/magazine/acreport-redleaves.html"
	],
	"report_names": [
		"acreport-redleaves.html"
	],
	"threat_actors": [
		{
			"id": "15b8d5d8-32cf-408b-91b1-5d6ac1de9805",
			"created_at": "2023-07-20T02:00:08.724751Z",
			"updated_at": "2026-04-10T02:00:03.341845Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "MISPGALAXY:APT-C-60",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "ab47428c-7a8e-4ee8-9c8e-4e55c94d2854",
			"created_at": "2024-12-28T02:01:54.668462Z",
			"updated_at": "2026-04-10T02:00:04.564201Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "ETDA:APT-C-60",
			"tools": [
				"SpyGlace"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434507,
	"ts_updated_at": 1775826707,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/f82df51b447c9252907376c217a68f91a9e884f2.pdf",
		"text": "https://archive.orkl.eu/f82df51b447c9252907376c217a68f91a9e884f2.txt",
		"img": "https://archive.orkl.eu/f82df51b447c9252907376c217a68f91a9e884f2.jpg"
	}
}