2018年1月17日頃、文部科学省に偽装した不正なメールが送信されていたことが一部で確認されています[1]。このメールにはURLが記載されており、アクセスするとマルウエアTSCookieがダウンロードされました。(トレンドマイクロ社はこのマルウエアをPLEADと呼んでいます[2]。PLEADは、攻撃キャンペーン名として使われることもあるため、ここではこのマルウエアをTSCookieと記載します。)TSCookieは、2015年頃から確認されており、BlackTech[3]と呼ばれる攻撃グループとの関連が疑われています。JPCERT/CCではこのマルウエアを使用した攻撃グループが、過去に日本の組織をターゲットに標的型攻撃を行っていることを確認しています。 今回は、TSCookieの詳細について紹介します。 TSCookieの概要 図1は、TSCookie実行時の動作の流れを示しています。 図
![プラグインをダウンロードして実行するマルウエアTSCookie (2018-03-01) | JPCERTコーディネーションセンター(JPCERT/CC)](https://cdn-ak-scissors.b.st-hatena.com/image/square/c93632eccc36e674a4a0eee664e0b5a149a14c85/height=288;version=1;width=512/https%3A%2F%2Fblogs.jpcert.or.jp%2Fja%2F.assets%2Fthumbnail%2Facreport-tscookie_01-800wi.png)