4月19日資安研究機構MITRE證實遭駭，對方透過一月份Ivanti公布的Connect Secure零時差漏洞，入侵他們用於研究、開發、原型設計的協作網路環境「網路實驗、研究及虛擬化環境（NERVE）」，最近該機構針對事故發生的過程，公布進一步的調查結果，並指出攻擊者在作案過程中，運用多達5個後門程式及Web Shell。

5月4日MITRE指出，駭客先是透過Ivanti零時差漏洞繞過身分驗證流程，入侵NERVE得逞，接著藉由一個遭他們奪走的管理員帳號存取VMware虛擬化基礎架構，然後部署後門程式及Web Shell，以便持續存取NERVE並挖掘帳密資料。

根據調查結果，這起攻擊行動最早可追溯到去年12月31日，對方在Ivanti設備植入了RootRot的Web Shell，以便將這類設備作為存取NERVE內部系統的跳板。此工具是中國駭客組織UNC5221製作，但MITRE並未明確指出這起事故是他們所為。

到了1月4日，攻擊者對NERVE進行偵察，透過Ivanti設備與vCenter進行互動，並與ESXi主機建立連線，接著，對方利用遠端桌面連線（RDP）成功存取數個NERVE帳號，並藉由竊得的帳密存取使用者的瀏覽器書籤，並進行檔案共享，從而深入了解網路架構。

次日（5日）駭客操縱虛擬機器（VM）並試圖控制基礎設施。對方利用竊得的管理者帳密資料，透過NERVE內部IP位址通過身分驗證，進行橫向移動。

事隔兩天（7日），這些駭客再度存取虛擬機器，並部署另外兩個惡意酬載，它們分別是後門程式BrickStorm，以及名為BeeFlush的Web Shell，這些工具使得攻擊者建立C2通訊，並能執行任意命令。

攻擊者利用名為vpxuser的預設帳號，以及vSphere的管理API，進行7次API呼叫並取得已掛載及未掛載的磁碟名單，然後切換成管理員帳號建立3個新的虛擬機器，用來部署前述的BrickStorm、BeeFlush。

但值得留意的是，這起攻擊行動裡，駭客不光利用Ivanti的零時差漏洞，還濫用Connect Secure特定元件外傳竊得資料。

根據系統記憶體的分析，MITRE發現11日對方策畫將竊得資料傳出，而暫存這些檔案的地方，竟是Ivanti裝置上的說明文件網站。此外，駭客上傳名為WireFire（或稱GiftedVisitor）的Web Shell，這是以Python打造的指令碼，可接收、執行命令。

事隔一週，19日對方利用NERVE的內部IP位址，對一個稱做BushWalk的Web Shell發出網路連線的請求。之後，駭客從2月中旬至3月中旬，持續於NERVE活動，並進行橫向移動，試圖存取其他資源，但沒有成功。