資安機構MITRE先後於4月19日、5月3日，針對他們1月遭遇Ivanti零時差漏洞攻擊的事故，公佈駭客攻擊的手法、事件發生的過程，以及過程中使用的後門程式、Shell Code等作案工具。當時他們曾透露攻擊者入侵該組織用於研究、開發、原型設計的協作網路環境「網路實驗、研究及虛擬化環境（NERVE）」時，藉由VMware虛擬化平臺來維持在該環境當中活動，現在該機構進一步說明相關細節。

該資安機構指出，對方透過Ivanti零時差漏洞成功入侵NERVE後，先是對VMware vCenter植入後門程式BrickStorm，以及名為BeeFlush的Web Shell，然後透過另外2個稱為WireFire、BushWalk的Web Shell來竊取資料。

但究竟對方如何隱匿相關攻擊行蹤？MITRE指出，駭客在企圖濫用虛擬化環境之前，已得到ESXi基礎架構的管理權限。

駭客藉由系統服務帳號，產生用於攻擊行動的虛擬機器（VM），這麼做的目的，就是讓管理者無法從vCenter管理主控臺察覺這些VM的存在。

接著，他們在今年1月5日，操縱這些VM並使用外流的管理者帳號，對於整個基礎設施進行控制。對方也在vCenter伺服器的Tomcat元件中，植入以JSP打造稱為BeeFlush的Web Shell，目的是執行以Python為基礎的隧道工具，使得駭客建立的VM，能與ESXi的管理程式能夠進行SSH連線。

事隔2日，這些駭客存取VM並部署惡意酬載BrickStorm，值得留意的是，他們也濫用虛擬化平臺的預設帳號Vpxuser，呼叫7個API，目的是進行偵察，盤點已掛載及未掛載的磁碟。

而對於駭客所使用的VM，還具備另一項特徵，那就是這些VM具備兩組網路介面，其中一種是用於連接網際網路，以便接收C2通訊；另一種則是與內部環境的子網路進行連線。

該組織表示，這代表IT人員透過vCenter集中管理主控臺來管理VM，很有可能難以察覺攻擊者的行為，對此，MITRE提供相關的檢測方式，並公佈兩款能掃描這類威脅的指令碼工具，它們分別是：由MITRE打造的Invoke-HiddenVMQuery，以及資安業者CrowdStrike開發的VirtualGHOST。