4月19日资安研究机构MITRE证实遭骇，对方透过一月份Ivanti公布的Connect Secure零时差漏洞，入侵他们用于研究、开发、原型设计的协作网路环境「网路实验、研究及虚拟化环境（NERVE）」，最近该机构针对事故发生的过程，公布进一步的调查结果，并指出攻击者在作案过程中，运用多达5个后门程式及Web Shell。

5月4日MITRE指出，骇客先是透过Ivanti零时差漏洞绕过身分验证流程，入侵NERVE得逞，接著借由一个遭他们夺走的管理员帐号存取VMware虚拟化基础架构，然后部署后门程式及Web Shell，以便持续存取NERVE并挖掘帐密资料。

根据调查结果，这起攻击行动最早可追溯到去年12月31日，对方在Ivanti设备植入了RootRot的Web Shell，以便将这类设备作为存取NERVE内部系统的跳板。此工具是中国骇客组织UNC5221制作，但MITRE并未明确指出这起事故是他们所为。

到了1月4日，攻击者对NERVE进行侦察，透过Ivanti设备与vCenter进行互动，并与ESXi主机建立连线，接著，对方利用远端桌面连线（RDP）成功存取数个NERVE帐号，并借由窃得的帐密存取使用者的浏览器书签，并进行档案共享，从而深入了解网路架构。

次日（5日）骇客操纵虚拟机器（VM）并试图控制基础设施。对方利用窃得的管理者帐密资料，透过NERVE内部IP位址通过身分验证，进行横向移动。

事隔两天（7日），这些骇客再度存取虚拟机器，并部署另外两个恶意酬载，它们分别是后门程式BrickStorm，以及名为BeeFlush的Web Shell，这些工具使得攻击者建立C2通讯，并能执行任意命令。

攻击者利用名为vpxuser的预设帐号，以及vSphere的管理API，进行7次API呼叫并取得已挂载及未挂载的磁碟名单，然后切换成管理员帐号建立3个新的虚拟机器，用来部署前述的BrickStorm、BeeFlush。

但值得留意的是，这起攻击行动里，骇客不光利用Ivanti的零时差漏洞，还滥用Connect Secure特定元件外传窃得资料。

根据系统记忆体的分析，MITRE发现11日对方策画将窃得资料传出，而暂存这些档案的地方，竟是Ivanti装置上的说明文件网站。此外，骇客上传名为WireFire（或称GiftedVisitor）的Web Shell，这是以Python打造的指令码，可接收、执行命令。

事隔一周，19日对方利用NERVE的内部IP位址，对一个称做BushWalk的Web Shell发出网路连线的请求。之后，骇客从2月中旬至3月中旬，持续于NERVE活动，并进行横向移动，试图存取其他资源，但没有成功。